Forum PHP.pl

Wymyśliłem sobie coś takiego

[PHP] pobierz, plaintext 
<?php
function checktoken()  {
  if($_SESSION['zeton']!=$_GET['token']) diee_close(); }
 
function generate_token() {
 $literki="abcdefghijklmnopqrstuwvxyzABCDEFGHIJKLMNOPQRSTUWVXYZ";
 $cyferki="0123456789";
 for($tokelen=1;$tokenlen<=32;$tokenlen++) {
   $token.=substr($literki,rand(0,strlen($literki)-1),1).substr($cyferki,rand(0,strlen($cyferki)-1),1);  }
 $_SESSION['zeton']=$token;
 return $token; }
?>
[PHP] pobierz, plaintext 

no i oczywiście na początku skryptów daję
checktoken();
$token=generate_token();

i wklejam ?token={$token} do linków...

To chyba lepsze niż moje poprzednie (raczej rzeczywiście beznadziejne) rozwiązanie (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) ?
Jeżeli to jest OK to będę musiał to dodać w kilku serwisach.... no i chyba przyda się linuchowy sed do pododawania tokena w linkach :-)

Ten post edytował mlattari 6.03.2009, 01:34:36

Nie wiem co robi diee_close() ale jesli nic nie zwraca to moze nie dzialac bo troche nie ma sensu to raz a dwa to jakos kombinujesz ze sklejaniem ciagu i jeszcze nie bedzie on az taki losowy ja 2 dni temu napisac cos takiego jeszcze w praktyce nie uzywalem ale dzialac dziala:

[PHP] pobierz, plaintext 
<?php
function InitCsrfSession() {
 
  $InitLenght = rand(1,5);
  $EndLenght = rand(10,20);
 
  return substr(md5(time()), $InitLenght,$EndLenght);
 
}
 
 
function CheckCsrfSession($GetSession) {
 
  ($GetSession == $_SESSION['CSRF']) ? $bool = true : $bool =  false;
  
  return $bool;
 
}
 
//Przypisujesz
session_start();
$_SESSION['CSRF'] = InitCsrfSession();
?>
[PHP] pobierz, plaintext 

No masz racje :-) U mnie jest rzeczywiście mało losowo :-( Chyba będę musiał dodać coś z md5 tak jak u Ciebie. Dzięki za podpowiedź.

ob_start" title="Zobacz w manualu PHP" target="_manual + preg_replace" title="Zobacz w manualu PHP" target="_manual

O co chodzi^^(IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif)

Prawdopodobnie można zbuforować zawartość stronki, podmienić określone wyrażenia i zapisać ponownie :-)

Tak, jak to robi mechanizm sesyjny dopisując SID w przypadku włączonego rewriter_tags. (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

przejrzałem posty w tym temacie, i ogólnie to wszystkie mówią o trochę bardziej skomplikowanych sytuacjach niż te, z którą ja mam do czynienia tzn:

Strona jest praktycznie statyczna, a php używam tylko do zaincludowania nagłówka i stopki, ale nazwy plików nie pochodzą z posta/geta tylko są zahardcodowane. Czy ciągnie to za sobą jakieś niebezpieczeństwo? Wolę się upewnić. Drugie pytanie, czy mechanizm google search engine może wpłynąć na bezpieczeństwo strony? Uzywam go w ten sposób:

Na stroni z wynikami:

[HTML] pobierz, plaintext 
<div id="cse-search-results"></div>
<script type="text/javascript">
  var googleSearchIframeName = "cse-search-results";
  var googleSearchFormName = "cse-search-box";
  var googleSearchFrameWidth = 600;
  var googleSearchDomain = "www.google.com";
  var googleSearchPath = "/cse";
</script>
<script type="text/javascript" src="http://www.google.com/afsonline/show_afs_search.js"></script>
[HTML] pobierz, plaintext 

formatka wyszukiwarki:

[HTML] pobierz, plaintext 
<form action="szukaj.php" id="cse-search-box">
              <div>
                <input type="hidden" name="cx" value="004632895002302782970:fakn9rzjcvi" />
                <input type="hidden" name="cof" value="FORID:11" />
                <input type="hidden" name="ie" value="UTF-8" />
                <input type="text" name="q" size="31" />
                <input type="submit" name="sa" value="Szukaj" />
              </div>
            </form>
 
<script type="text/javascript" src="http://www.google.com/coop/cse/brand?form=cse-search-box&lang=pl"></script>
[HTML] pobierz, plaintext 

ad1. poki nie pobierasz niczego z zewnatrz skryptu wsio jest ok
ad2. nie - no chyba ze Googla shakuja (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Ten post edytował bełdzio 28.03.2009, 23:40:02

Chciałem dowiedzieć się jak zabezpieczać się przed atakami CSRF więc zrobiłem testową aplikację do tego celu:
użytkownik może dodawać i usuwać znajomych oraz pisać komentarze a w nich umieszczać linki. Użytkownik może usunąć ze znajomych użytkownika klikając na link 'usuń' w swoim profilu w znajomych - na końcu linka jest podawany id znajomego do usunięcia:

[HTML] pobierz, plaintext 
<a href="/profil/znajomi/usun/<?php echo $z->getIdentyfikator() ?>" >usuń ze znajomych</a>
[HTML] pobierz, plaintext 

Po kliknięciu w linka, id jest oczywiście zamieniane na liczbę całkowitą, jest sprawdzenie czy w ogóle podano id, czy użytkownik o takim id istnieje oraz czy zalogowany użytkownik, który chce usunąć znajomego ma w swoich znajomych użytkownika o danym id.

Użytkownik o id=2 ma w znajomych uzytkownika o id=4.

Jako użytkownika o id=999 dodałem komentarz:
"Bla, bla,<IMG src="/profil/znajomi/usun/4"> bla, bla"

Następnie zalogowałem się jako użytkownik o id=2 i wszedłem na stronę z tym komentarzem, w skutek czego nie zobaczyłem oczywiście obrazka a z moich znajomych został usunięty użytkownik o id=4 bez mojej wiedzy i zgody - klasyczny przykład ataku CSRF.

Wymyśliłem więc sobie, że żeby usunąć użytkownika ze znajomych trzeba to potwierdzić - do czego użyłem ajaxa:

[HTML] pobierz, plaintext 
<a href="/profil/znajomi" onclick="potwierdzUsuniecieZnajomego(<?php echo $z->getIdentyfikator() ?>); " >usuń ze znajomych</a>
[HTML] pobierz, plaintext 

Po kliknięciu na linka wyskakuje messagebox z prośbą o potwierdzenie, w przypadku potwierdzenia do funkcji php z funkcji javascript jest przesyłany id użytkownika do usunięcia ze znajomych metodą post, w funkcji php jest sprawdzane czy żądanie przyszło metodą post itd. czego skutkiem jest usunięcie osoby ze znajomych.

Po wyłaczeniu w przeglądarce javascripta usunięcie uzytkownika ze znajomych nie jest możliwe, ale:
"Bla, bla,<IMG src="/profil/znajomi/usun/4"> bla, bla" już nie działa (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif) (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif)

Czy to wystarczające zabezpieczenie przed atakiem CSRF ?

nie przeciez zamiast odwolywac sie do adresu /profil/znajomi/usun/4 moge odwolac sie do adresu strony z potwierdzeniem, wlasnie kopiuje na blogaska notke o csrf tak wiec rzuc okiem za jakies 5 - 10 min (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

bełdzio wielkie dzięki - dzięki Tobie nareszcie zrozumiałem jak zabezpieczać się przed tymi atakami (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Super artykuł.

------------------
@edycja

Mam jeszcze pytanie odnośnie ataków CSRF - w przypadku linków usuwających coś z bazy danych wystarczy, że atakujący w komentarzu wpisze np.:

[HTML] pobierz, plaintext 
<img src="http://adres.pl?usun=10" />
[HTML] pobierz, plaintext 

Ofiara po wejściu na tę stronę z takim wpisem usunie nieświadomie coś tam o id=10. W takim wypadku rozumiem doklejanie unikatowego tokena do linku i potem go sprawdzanie.

Natomiast nie bardzo rozumiem dodawania do formularza ukrytego pola z tokenem. Co atakujący miałby wpisać żeby ofiara po wejściu na stronę z tym niebezpiecznym wpisem została nieświadomie przekierowana na stronę z formularzem i nieświadomie kliknęła na button typu submit ? To jest chyba niemożliwe w przypadku formularzy ?

Ten post edytował nieraczek 24.05.2009, 11:55:13

wystarczy ze stworze na swojej stronie formularz z ukrytymi inputami i widocznym przyciskiem "WYgraj 100 000 pln"; user klika na button i na właściwy serwer przesyłane są dane, których autorem jest nasza ofiara (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

A jak macie formularze, np. żeby było bardziej obrazowo: formularz do wysyłania odpowiedzi na otrzymane prywatne wiadomości:

[HTML] pobierz, plaintext 
<form method="post" action="/wyslij_odpowiedz/na_wiadomosc/68/do_uzytkownika/11">
..........
</form>
[HTML] pobierz, plaintext 

To te numery - id w action można pozmieniać w dodatku do firefoxa: firebug. Więc po zatwierdzeniu formularza też należy sprawdzać czy dany użytkownik dostał wiadomość o danym id od danej osoby o danym id itd. ?

Ten post edytował nieraczek 12.06.2009, 08:47:21

Najprostszym zabezpieczeniem przed atakami CSRF jest poprostu dodawanie id sesji i sprawdzanie jej. Np:

[PHP] pobierz, plaintext 
<?php
/*
...
tu wysylam jakis formularz i jako hidden daję id sesji
...
*/
 
if(empty($_POST['sess_id']) || $_POST['sess_id'] != session_id())
{
die('Czy napewno nie próbujesz mi zaszkodzić Panie majster?');
}
?>
[PHP] pobierz, plaintext 

Ale nie chodzi mi o ataki csrf tylko ataki wykonane programem firebug, dzięki któremu można dowolnie modyfikować kod html strony i dzięki temu zmieniać ID w akcji formularza, co w konsekwencji mego poprzedniego posta spowoduje wysłanie odpowiedzi do innej osoby niż nadawca danej wiadomości. Inny przykład to jak edytujemy dany post na jakimś forum i w akcji formularza za pomocą firebuga zmienimy ID to w ten sposób moglibyśmy zmodyfikować posta innej osoby jeśli po zatwierdzeniu formularza nie sprawdzimy czy dany użytkownik edytuje swój własny post ufając temu, że akcja formularza nie została zmieniona. Chodzi mi o to, że akcje formularza są tak samo niebezpieczne jak adresy URL i łatwe do modyfikacji programami typu firebug. Rozumie ktoś czy dać przykład ? (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

Ten post edytował nieraczek 12.06.2009, 10:16:46

Rozumie. Tylko nie widzę pytania... bo na jedyne jakie postawiłeś sam sobie odpowiedziałeś.

Dopisująć się do Crozina:

@nieraczek, wygląda na to, że gadasz sam ze sobą (IMG:http://forum.php.pl/style_emoticons/default/withstupidsmiley.gif)

jakie są ograniczenia na wysylanie prywatych wiadomosci? bo jesli moge wyslac do kazdego to co za problem czy klikne w jego profilu "napisz wiadomosc" czy sobie zmienie w formie?

@bełdzio: A co jak ustawisz ID użytkownika, które nie istnieje? W przypadku gdy masz ustawione klucze obce w tabeli piękny błąd wywali.
Poza tym luki, które nawet potencjalnie są niegroźne powinny być szybko poprawiane.