Hogyan védjük meg a támadások ellen, intersite-illeszkedő kérés (csrf)

Az intersite-illeszkedő hamisítvány (CSRF) segítségével a webes alkalmazás biztonsági rése, ha az áldozat véletlenül elindítja a szkriptet a böngészőjében, amely az engedélyezett felhasználó aktuális munkamenetét használja egy adott webhelyen. A CSRF-támadások elérhetők a Get vagy a Post kérések segítségével. Ez a cikk megmutatja, hogyan védheti webes alkalmazást a CSRF támadásokról.

Módszer

Két módszert fogunk használni a CSRF támadások elleni védelmére és a kérésekre.

Az első módszer egy véletlenszerű kulcs használata. Minden egyes kérésnél ez az egyes munkamenethez létrehozott egyedi vonal. Generáljuk a kulcsot, majd bekapcsoljuk minden formában rejtett mező formájában. Ezután a rendszer ellenőrzi az űrlap érvényességét, összehasonlítja a felhasználó munkamenetváltozójában tárolt kulcsot és értéket. Vagyis, ha a támadó kérést kíván létrehozni, meg kell tudnia a kulcsértéket.

A második módszer az egyes űrlapmezőhöz véletlenszerű nevek használata. Az egyes mezőkre vonatkozó véletlenszerű név értékét a munkamenetváltozóban tárolják, és az űrlap elküldése után (Sabmitikus bekövetkezett), a rendszer új véletlenszerű mezőneveket generál. Vagyis, ha a támadó támadást szeretne tenni, meg kell ismernie az űrlapmezők véletlen nevét.

Például a kérés, amely így látott

Kép című jelszócsrf.jpg

Ez így fog kinézni:

Kép ProtectedRequestcsrF.jpg

Lépések

1. módszer: 2:
CSRF fájl létrehozása.Osztály.PHP

Ez a fő fájl, amely tartalmazza a CSRF támadások megelőzéséhez szükséges összes módszert.

  1. A kép 2543022 1
egy. Hozzon létre egy CSRF fájlt.Osztály.PHP.Indítsa el a fájl létrehozásával, és mentse el a következő tartalmakkal:

CSRF osztály {
A kézikönyv ezen részének összes kódja hozzáadódik a fájl végén.
  • 2543022 2 kép
    2. Hozzon létre egy get_token_id () módszert.
    Ez a funkció kulcsfontosságú azonosítót (token) kap a munkamenetváltozóból, ha még nem jött létre, véletlenszerű token. 

    Public Function Get_Token_ID () {IF ($ _ Session [`token_id`])) {vissza $ _session [`token_id`] -} Else {$ token_id = $ this-> véletlen (10) - $ _ Session [` token_id `] = $ token_id-return $ token_id-}}
  • A kép 2543022 3
    3. Hozzon létre egy get_token () módszert.
    Ez a funkció kap egy token értéket, ha az érték még nem generált, akkor ez generálódik.

    Public Function Get_Token () {IF (BETSET ($ _ ülés [`token_value`]) {RETURN_VALUE `] {` token_value `] -} Else {$ token = hash (` sha256 `, $ this-> véletlenszerű (500)) - $ _ Session [`token_value`] = $ token-visszatérés $ token-}}
  • A kép 2543022 4
    4. Hozzon létre egy Check_Valid () módszert.
    Ez a funkció az azonosító érvényességét és a token ellenőrzése. Ellenőrzés következik be, ha összehasonlítjuk a kapott értékeket, ha megkapja a lekérdezéseket a felhasználó munkamenetváltozójának értékével.

    Public Function Check_Valid ($ Method) {Ha ($ Method == `post` || $ módszer == `Get`) {$ POST = $ _POST- $ GET = $ _GET-IF (BETSET ($ {$ {$ Method} [ $ this-> get_token_id ()]) && ($ {$ Method} [$ this-> get_token_id ()] == $ this-> get_token ())) {True-} Else {Return False-}} Else { Visszatérés hamis-}}}
  • A kép 2543022 5
    öt. Hozzon létre az FORM_NAMES () módszert.
    Ez az e cikkben leírt CSRF-támadások második védelme. Ez a funkció véletlenneveket generál az űrlapmezők számára.

    Nyilvános függvény ($ nevek, $ regenerátum) {$ értékek = tömb () - foreach ($ nevek, $ n) {ha ($ regenerate == true) {unset ($ _ munkamenet [$ n]) -} $ s = kibocsátás ($ _ Session [$ n]) ? $ _Session [$ n]: $ this-> Véletlen (10) - $ _ Session [$ n] = $ s- $ értékek [$ n] = $ s] = $ s-} vissza $ értékek -}
  • A kép 2543022 6
    6. Hozzon létre egy véletlenszerű () módszert.
    Ez a funkció véletlenszerű karakterláncot generál egy véletlenszerű Linux Fal használatával az értékek nagyobb kaotikus értékéhez. 

    Privát funkció Véletlen ($ LEN) {functor_exists ("openssl_random_seudo_bytes")) {$ Bytelen = Intval (($ Len / 2) + 1) - $ Return = Substr (Bin2HEX (OpenSl_Random_peneudo_byetes ($ Byten)), 0, $ LEN) -} Elseif (@is_readable (`/ dev / urandom)) {$ F = Fopen (` / Dev / Urandom `,` R `) - $ Urandom = Fread ($ F, $ LEN) -Flose ($ f) - $ Return = `` -} Ha (üres ($ visszatérés)) {for ($ i = 0- $ i<$len-++$i) {if (!isset($urandom)) {if ($i%2==0) {mt_srand(time()%2147 * 1000000 + (double)microtime() * 1000000)-}$rand=48+mt_rand()%64-} else {$rand=48+ord($urandom[$i])%64-}if ($rand>57) $ Rand + = 7-IF ($ Rand> 90) $ rand + = 6-if ($ rand == 123) $ rand = 52-if ($ rand == 124) $ rand = 53- $ visszatérés.= CHR ($ RAND) -}} $ RETURN -}
  • A kép 2543022 7
    7. Fejezze be az osztály záró konzolját.
    Ez teljesíti a CSRF osztályt.

    }
    Most bezárhatja a CSRF fájlt.Osztály.PHP óta befejeztük vele.
    • 2. módszer 2:
    Oldalvédelem a CSRF-vel.Osztály.PHP

    Ezek a lépések megmutatják, hogyan kell használni a CSRF-osztályt a CSRF támadások elleni védelem érdekében.

    A kép 2543022 8
    egy. Védelmi űrlap.
    Az alábbi kód a CSRF-osztály használatát mutatja az űrlapra. 

    session_start () - közé tartozik a `CSRF.Osztály.php „- $ CSRF = new CSRF () - // Generation azonosítót és Tocken értéke $ TOKEN_ID = $ csrf-> get_token_id () - $ token_value = $ csrf-> get_token ($ TOKEN_ID) - // generálása random neveket forma Mezők $ Form_Names = $ CSRF-> form_names (Array (`Felhasználó`, `Jelszó`), FALSE) -fish (BETSET ($ _ POST [$ FORM_NAMES [`USER`]], $ _POST [$ formi_names [`jelszó`]] ])))) {// Ellenőrizze, hogy érvényes azonosító és token értéke van-e.Ha ($ CSRF-> Check_Valid (`Post`)) {// Változó űrlapok megszerzése.$ User = $ _post [$ form_names [`user`]] - $ Password = $ _post [$ form_names [`jelszó`]] - // A formázási módszer itt megy} // létrehoz egy új véletlen értéket az űrlap számára.$ form_names = $ CSRF-> form_names (tömb ("felhasználó", "jelszó"), igaz) -}?>
    Hasonló publikációk
    A windows 8 aktiválásaA windows 8 aktiválása
    Hogyan lehet túlélni, amikor az állati támadásokHogyan lehet túlélni, amikor az állati támadások
    Hogyan lehet kiadni a facebook-onHogyan lehet kiadni a facebook-on
    Hogyan kell felgyorsítani a windows xp leállításátHogyan kell felgyorsítani a windows xp leállítását
    Hogyan írjunk egy játékot `stone, olló, paper on javaHogyan írjunk egy játékot `stone, olló, paper on java
    A rendszerleíróadatbázis-szerkesztő elindításaA rendszerleíróadatbázis-szerkesztő elindítása
    Hogyan lehet eltávolítani a törött kulcsot a gyújtási zárrólHogyan lehet eltávolítani a törött kulcsot a gyújtási zárról
    Hogyan kapcsolja ki az fn kulcsotHogyan kapcsolja ki az fn kulcsot
    Hogyan kell írni egy magas kulcsotHogyan kell írni egy magas kulcsot
    A windows rendszerleíró adatbázisának módosításaA windows rendszerleíró adatbázisának módosítása
    Hogyan lehet eltávolítani a kulcsot a macbook-banHogyan lehet eltávolítani a kulcsot a macbook-ban
    Hogyan készítsünk mosástHogyan készítsünk mosást
    Hogyan lehet összehasonlítani a karakterláncokat java-banHogyan lehet összehasonlítani a karakterláncokat java-ban
    Hogyan védjük meg a hálózatot a hacker hackerekbőlHogyan védjük meg a hálózatot a hacker hackerekből
    Hogyan hozzunk létre egy egyszerű reakciókomponenst, amely nyomon követi az "oldal láthatósági állapotát"Hogyan hozzunk létre egy egyszerű reakciókomponenst, amely nyomon követi az "oldal láthatósági állapotát"
    Hogyan érhető el a router linksysHogyan érhető el a router linksys
    Hogyan kell fenntartani a számítógépet és csökkenti a hibáinak számátHogyan kell fenntartani a számítógépet és csökkenti a hibáinak számát
    Hogyan lehet végrehajtani a http-bejegyzéseket az androidbanHogyan lehet végrehajtani a http-bejegyzéseket az androidban
    Hogyan kell használni az ecmascript alkalmazása moduláris alkatrészeket a jаvascriptbenHogyan kell használni az ecmascript alkalmazása moduláris alkatrészeket a jаvascriptben
    Hogyan lehet megtudni a felhasználó biztonsági azonosítóját (sid) a windows rendszerbenHogyan lehet megtudni a felhasználó biztonsági azonosítóját (sid) a windows rendszerben