Enthüllen Sie das Geheimnis hinter PHP Cross-Site Request Forgery (CSRF) und bauen Sie ein eisernes Schutzsystem auf

Der

php-Editor Strawberry enthüllt das Geheimnis hinter PHP Cross-Site Request Forgery (CSRF) und hilft Ihnen beim Aufbau eines eisernen Schutzsystems. CSRF-Angriffe stellen eine häufige Bedrohung für die Netzwerksicherheit dar. Hacker nutzen Benutzeridentitätsinformationen, um böswillige Anfragen zu senden und Schaden anzurichten. Es ist entscheidend, die Angriffsprinzipien zu verstehen und wirksame Schutzmaßnahmen zu ergreifen. In diesem Artikel wird die Funktionsweise von CSRF-Angriffen im Detail vorgestellt und praktische Schutzvorschläge bereitgestellt, die Ihnen dabei helfen, die Systemsicherheit zu stärken und Ihre Website vor potenziellen Bedrohungen zu schützen.

Der Mann hinter CSRF

CSRF nutzt den Mechanismus des WEB-Browsers zur automatischen Übermittlung von Cookies. Wenn ein Benutzer eine Website besucht, die ein bösartiges Skript enthält, kann das bösartige Skript heimlich eine Anfrage an eine andere Website (die Website des Opfers) senden. Der Browser sendet automatisch Cookies an die Website des Opfers, und der Angreifer kann sich als Benutzer ausgeben, um unbefugte Vorgänge durchzuführen, z. B. das Ändern persönlicher Daten, das Überweisen von Geld oder den Kauf von Waren.

CSRF-Angriffe müssen normalerweise die folgenden Bedingungen erfüllen:

1. Der Benutzer hat sich auf der Website des Opfers angemeldet und Cookies im Browser gespeichert.
2. Der Benutzer hat eine Website besucht, die ein bösartiges Skript enthält.
3. Das bösartige Skript sendet eine Anfrage an die Website des Opfers und trägt die Cookies des Benutzers.
4. Nach Erhalt der Anfrage geht die Website des Opfers davon aus, dass sie vom Benutzer stammt, und führt entsprechende Vorgänge aus.

Schaffen Sie ein Schutzsystem wie eine Eisenmauer

Um CSRF-Angriffe zu verhindern, können Sie folgende Maßnahmen ergreifen:

1. Verwenden Sie CSRF-Token

CSRF-Token ist eine zufällig generierte Zeichenfolge, die zur Überprüfung der Legitimität der Anfrage verwendet wird. Bei jeder Anfrage generiert der Server ein CSRF-Token und sendet es an den Browser. Der Browser speichert das CSRF-Token in einem Cookie und sendet es bei nachfolgenden Anfragen an den Server zurück. Nachdem der Server die Anfrage erhalten hat, prüft er, ob das CSRF-Token korrekt ist. Wenn das CSRF-Token falsch ist, wird die Anfrage gefälscht und der Server weigert sich, die Anfrage auszuführen.

Das Folgende ist ein Beispiel für die Verwendung von PHP zur Implementierung des CSRF-Tokens:

<?php
// Generate a CSRF Token
$csrfToken = bin2hex(random_bytes(32));

// Store the CSRF Token in a cookie
setcookie("csrfToken", $csrfToken, time() + (60 * 60 * 24), "/");

// Verify the CSRF Token
if (isset($_POST["csrfToken"]) && $_POST["csrfToken"] === $_COOKIE["csrfToken"]) {
// The request is legitimate, process it
} else {
// The request is a CSRF attack, deny it
header("Http/1.1 403 Forbidden");
exit;
}
?>

2. Verwendung von SameSite-Cookies

SameSite-Cookies sind eine neue Funktion von Browsern, die CSRF-Angriffe verhindern. SameSite-Cookies ermöglichen dem Browser nur das Senden von Cookies bei Anfragen gleicher Herkunft. Das bedeutet, dass, wenn ein Benutzer eine Website besucht, die ein bösartiges Skript enthält, das bösartige Skript keine Cookies an die Website des Opfers senden kann, wodurch CSRF-Angriffe verhindert werden.

Hier ist ein Beispiel für das Setzen von SameSite-Cookies mit PHP:

<?php
// Set the SameSite attribute for the CSRF Token cookie
setcookie("csrfToken", $csrfToken, time() + (60 * 60 * 24), "/", null, null, true);
?>

3. Verwenden Sie die Content Security Policy (CSP)

CSP ist ein HTTP-Header, mit dem Website-Administratoren steuern können, welche Ressourcen der Browser laden kann. CSP kann zur Verhinderung von CSRF-Angriffen verwendet werden, da es Browser daran hindert, schädliche Skripte zu laden.

Hier ist ein Beispiel für die Einrichtung von CSP mit PHP:

<?php
// Set the CSP header
header("Content-Security-Policy: default-src "self"");
?>

4. Benutzereingaben validieren

Zusätzlich zur Verwendung der oben genannten Techniken können Benutzereingaben auch validiert werden, um CSRF-Angriffe zu verhindern. Beispielsweise können Sie bei der Verarbeitung eines vom Benutzer übermittelten Formulars prüfen, ob das Formular ein CSRF-Token enthält und ob das CSRF-Token korrekt ist.

Fazit

CSRF-Angriffe sind eine häufige Sicherheitslücke im Internet, die es Angreifern ermöglicht, sich als Benutzer auszugeben und nicht autorisierte Aktionen auszuführen. Um CSRF-Angriffe zu verhindern, können verschiedene Maßnahmen ergriffen werden, z. B. die Verwendung von CSRF-Tokens, die Verwendung von SameSite-Cookies, die Verwendung von CSP und die Validierung von Benutzereingaben.

Das obige ist der detaillierte Inhalt vonEnthüllen Sie das Geheimnis hinter PHP Cross-Site Request Forgery (CSRF) und bauen Sie ein eisernes Schutzsystem auf. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!