หน้าแรก>ซอร์สโค้ด PHP>หมวดหมู่อื่นๆ
ดาวน์โหลด

pedroac/nonce สำหรับ PHP

ไลบรารี PHP nonce manager มีประโยชน์ในการป้องกัน CSRF และการโจมตีซ้ำ

เราอาจพบบทความและวิดีโอหลายรายการที่อธิบายช่องโหว่ที่ noces พยายามป้องกัน:

  • YouTube - Jmaxxz - อธิบาย CSRF
  • YouTube - ศาสตราจารย์เมสเซอร์ - การปลอมแปลงคำขอข้ามไซต์
  • YouTube - ศาสตราจารย์เมสเซอร์ - เล่นซ้ำการโจมตี
  • YouTube - Hak5 - วิธีแฮ็กรีโมทไร้สายด้วยการโจมตีซ้ำทางวิทยุ
  • Coding Horror - ป้องกันการโจมตี CSRF และ XSRF
  • acunetix - การโจมตี CSRF, XSRF หรือ Sea-Surf
  • SitePoint - วิธีป้องกันการโจมตีซ้ำบนเว็บไซต์ของคุณ

อย่างไรก็ตาม ดูเหมือนว่าไลบรารี PHP nonces จำนวนมากจะเข้มงวดเกินไป ประกอบกับเฟรมเวิร์กบางอย่าง ใช้งานยากหรือเข้าใจวิธีการทำงานได้ยาก

pedroac/nonce พยายามแก้ไขปัญหาเหล่านั้น

ช่วยให้สามารถเลือกการใช้งาน PSR-16 เพื่อจัดเก็บ nonces ตัวสร้างค่า nonces ช่วงเวลาหมดอายุ และแม้แต่ผู้ให้บริการ DateTime เพื่อแทนที่ระบบนาฬิกาชั่วคราว (คุณสมบัตินี้ใช้สำหรับการทดสอบหน่วย)

นอกจากนี้ยังมีตัวช่วยในการจัดการอินพุต สร้างชื่อและค่า nonces แบบสุ่ม ตรวจสอบโทเค็นที่ส่งเทียบกับ nonce และสร้างองค์ประกอบ HTML

ข้อกำหนดเบื้องต้น

  • PHP 7.1 หรือใหม่กว่า: http://php.net/downloads.php
  • ผู้แต่ง: https://getcomposer.org
  • การใช้งาน PSR-16 อย่างน้อยหนึ่งครั้ง ตัวอย่าง:
    • ซิมโฟนี/แคช
    • matthiasmullie/สมุดเรื่องที่สนใจ

กำลังติดตั้ง

รันคำสั่ง:

composer require pedroac/nonce

การใช้งาน

ตัวอย่าง

  • การใช้ Symfony ArrayCache
  • การทดสอบคลีไอ
  • แบบฟอร์ม HTML โดยใช้เซสชัน
  • แบบฟอร์ม HTML โดยใช้ชื่อ nonce ที่สร้างขึ้นโดยอัตโนมัติ
  • แบบฟอร์ม HTML โดยใช้ตัวช่วย

สามารถทดสอบแบบฟอร์ม HTML ได้โดยใช้เว็บเซิร์ฟเวอร์ในตัว PHP
จากโฟลเดอร์ php/examples ให้รันคำสั่ง: 

php -S localhost:8000

ใช้ URL http://localhost:8000/ ในเบราว์เซอร์

แบบฟอร์ม HTML พร้อมโทเค็น

  1. สร้างผู้ช่วยแบบฟอร์ม nonce: 
 <?php
require __DIR__ . ' /../vendor/autoload.php ' ;

use Symfony  Component  Cache  Simple  FilesystemCache ;
use  pedroac  nonce  NoncesManager ;
use  pedroac  nonce  Form  HtmlNonceField ;
use  pedroac  nonce  Form  NonceForm ;

// this handles automatically the input and nonce management
$ form = new NonceForm (
    ' token ' , // the HTML input name
    new NoncesManager (
      new FilesystemCache // a PsrSimpleCacheCacheInterface implementation
    )
);
// this will be used to generate a HTML input element
$ htmlField = new HtmlNonceField ( $ form );
  1. ตรวจสอบว่ามีการส่งโทเค็นที่ถูกต้องหรือไม่: 
 if ( $ form -> isSubmittedValid ()) {
  /**
   * handle the success:
   * - if all form input is valid, show success page;
   * - otherwise, show an error page and the form again;
   */
}
  1. ตรวจสอบว่ามีการส่งโทเค็นที่ไม่ถูกต้องหรือไม่: 
 if ( $ form -> isSubmittedInvalid ()) {
  /**
   * handle failure:
   * - don't show the form again;
   * - show an error message;
   */
}
  1. ใช้แบบฟอร์ม HTML: 
<form method=" POST ">
    <?= $ htmlField ?>
    <!-- more HTML -->
    <input type="submit" name="myform" value="Submit" />
</form>

nonce จะหมดอายุโดยอัตโนมัติเมื่อโทเค็นได้รับการตรวจสอบด้วยคลาส NonceForm

การใช้งานทั่วไป

  1. สร้างอินสแตนซ์ของผู้จัดการ nonce: 
 <?php
require __DIR__ . ' /../vendor/autoload.php ' ;

use Symfony  Component  Cache  Simple  FilesystemCache ;
use  pedroac  nonce  NoncesManager ;

$ manager = new NoncesManager ( new FilesystemCache );
  1. เมื่อมีการส่งคำขอ ให้ตรวจสอบโทเค็นที่ส่งและลบ nonce: 
 $ isValidToken = false ;
$ isValidForm = false ;
$ wasSubmitted = filter_has_var ( INPUT_POST , ' myform ' );
$ tokenName = filter_input ( INPUT_POST , ' token_name ' );
$ tokenValue = filter_input ( INPUT_POST , ' token_value ' ) ?? '' ;

if ( $ tokenName ) {
    $ isValidToken = $ manager -> verifyAndExpire ( $ tokenName , $ tokenValue );
}
if ( $ wasSubmitted && $ isValidToken ) {
    // validate input
}
  1. สร้าง nonce เมื่อเหมาะสม: 
 if (! $ wasSubmitted || (! $ isValidForm && $ isValidToken )) {
  $ nonce = $ manager -> create ();
}
  1. ใช้ชื่อและค่า nonce เพื่อสร้าง เช่น แบบฟอร์ม HTML: 
 <?php if ( $ nonce ) : ?>
  <input type="hidden"
        name="token_name"
        value=" <?= htmlspecialchars ( $ nonce -> getName ()) ?> " />
  <input type="hidden"
        name="token_value"
        value=" <?= htmlspecialchars ( $ nonce -> getValue ()) ?> " />
  <input type="submit" name="myform" value="Submit" />
<?php endif ; >

ตัวเลือก

นอกจากพื้นที่จัดเก็บแคช nonces แล้ว ยังสามารถเลือกตัวสร้างค่า nonce แบบสุ่มและช่วงเวลาหมดอายุได้: 

 <?php
require __DIR__ . ' /../vendor/autoload.php ' ;

use Symfony  Component  Cache  Simple  ArrayCache ;
use  pedroac  nonce  NoncesManager ;
use  pedroac  nonce  Random  HexRandomizer ;

$ manager = new NoncesManager (
    new ArrayCache ( 60 ),
    new HexRandomizer ( 32 ), // a pedroacnonceRandom implementation
    new  DateInterval ( ' PT3H ' )
);

นอกจากนี้ยังสามารถสร้าง nonce ด้วยชื่อที่ระบุได้: 

 $ user_id = $ _SESSION [ ' user_id ' ];
$ tokenName = "{ $ user_id } _form " ;
$ nonce = $ manager -> create ( $ tokenName );

แหล่งอินพุตเริ่มต้น NonceForm คือ $_POST แต่ยอมรับอินพุตอาร์เรย์ใดๆ: 

 $ form = new NonceForm (
    ' token ' ,
    new NoncesManager (
      new FilesystemCache
    ),
    filter_input_array ( INPUT_GET ) // use $_GET
);

ดำเนินการทดสอบ

เรียกใช้จากโฟลเดอร์รูทของไลบรารี:

php/vendor/bin/phpunit php/tests/ -c php/tests/configuration.xml

หากการทดสอบสำเร็จ php/tests/coverage-html ควรมีรายงานการครอบคลุมโค้ด

การสร้างเอกสาร HTML

เรียกใช้จากโฟลเดอร์รูทของไลบรารี:

sh scripts/generate-docs.sh

เอกสารที่สร้างขึ้นควรอยู่ในโฟลเดอร์ docs

การกำหนดเวอร์ชัน

ควรใช้ SemVer สำหรับการกำหนดเวอร์ชัน

ผู้เขียน

  • Pedro Amaral Couto - งานเบื้องต้น - https://github.com/pedroac

ใบอนุญาต

pedroac/nonce ได้รับการเผยแพร่ภายใต้ใบอนุญาตสาธารณะของ MIT
ดูใบอนุญาตที่แนบมาเพื่อดูรายละเอียด

รับทราบ

ไลบรารีได้รับการพัฒนาเป็นการตอบกลับคำขอส่วนตัวที่ทำโดยผู้ใช้ Stackoverflow

ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด