Construisez une forteresse imprenable : un bouclier solide contre la falsification de requêtes intersites PHP (CSRF)

L'éditeur php Yuzai vous montrera comment construire une forteresse solide et construire une ligne de défense hermétique pour résister aux attaques de falsification de requêtes intersites (CSRF). Cet article présentera en détail les principes et les inconvénients des attaques CSRF et partagera quelques mesures préventives efficaces pour aider les développeurs à renforcer la protection de sécurité lors de l'écriture d'applications PHP afin d'assurer la sécurité des données et des systèmes des utilisateurs. Apprenons ensemble comment construire un bouclier solide et protéger la sécurité du monde en ligne !

La

Cross-site request forgery (CSRF) est une vulnérabilité courante du WEB Sécurité qui permet à un attaquant d'effectuer des actions malveillantes au nom de la victime sans autorisation. Les attaques CSRF sont généralement lancées en incitant les utilisateurs à cliquer sur des liens malveillants ou à ouvrir des sites Web malveillants. L'attaquant utilise la confiance de l'utilisateur pour inciter la victime à accéder sans le savoir au serveur de l'attaquant, et transmet les informations d'authentification de la victime à l'application Web de la victime. fabriqué par l'attaquant. Les attaquants peuvent utiliser ces requêtes pour effectuer diverses opérations malveillantes, telles que la modification ou la suppression de données sensibles, la réalisation de transactions frauduleuses, l'envoi de spam, etc.

2. Les dangers de la falsification de requêtes intersites (CSRF)

Les dégâts causés par les attaques CSRF sont énormes et peuvent entraîner les conséquences graves suivantes :

• Voler des informations sensibles : Les attaquants peuvent utiliser des attaques CSRF pour voler les informations sensibles des victimes, telles que les noms d'utilisateur, les mots de passe, les numéros de carte de crédit, les numéros de sécurité sociale, etc.
• Effectuer des opérations malveillantes : Les attaquants peuvent utiliser des attaques CSRF pour effectuer diverses opérations malveillantes, telles que la modification ou la suppression des informations personnelles de la victime, la réalisation de transactions frauduleuses, l'envoi de spam, etc.
• Endommager la réputation d'un site Web : Les attaques CSRF peuvent nuire à la réputation d'un site Web, entraînant une perte de confiance des utilisateurs dans le site Web.

3. Mesures pour prévenir les attaques CSRF

Pour prévenir les attaques CSRF, vous pouvez prendre les mesures suivantes :

1. Vérifiez la source de la demande : Lors du traitement des demandes des utilisateurs, vérifiez si la source de la demande est légitime. Vous pouvez utiliser l'une des méthodes suivantes :

• En-tête de demande d'origine : Vérifiez l'en-tête de demande d'origine pour vous assurer que la demande provient d'une source légitime.
• En-tête de demande de référent : Vérifiez l'en-tête de demande de référent pour vous assurer que la demande provient de la page sur laquelle se trouve actuellement l'utilisateur.
• Cookie SameSite : Définissez le cookie SameSite pour empêcher les attaques de falsification de requêtes intersites.

2. Utilisez un jeton de nombre aléatoire : Générez un jeton de nombre aléatoire unique par session utilisateur et transmettez ce jeton en tant que paramètre au serveur à chaque requête. Le serveur vérifie la validité du jeton lors du traitement de la demande et rejette la demande si le jeton n'est pas valide.
3. Implémentez des restrictions strictes entre domaines : Implémentez des restrictions strictes entre domaines sur le site Web et interdisez aux requêtes provenant d'autres domaines d'accéder aux ressources sensibles du site Web.
4. Vérification stricte des entrées utilisateur : Vérification stricte des entrées utilisateur pour empêcher les entrées utilisateur de contenir du code ou des scripts malveillants.
5. Utilisez des frameworks et des bibliothèques de sécurité : Utilisez des frameworks et des bibliothèques de sécurité, telles que Symfony, Laravel, etc., qui incluent généralement déjà des fonctions de protection CSRF.

4. Code de démonstration pour prévenir les attaques CSRF en PHP

<?PHP
// 从表单中获取数据
$username = $_POST["username"];
$passWord = $_POST["password"];

// 验证随机数令牌
if (!isset($_POST["token"]) || $_POST["token"] !== $_SESSioN["token"]) {
// 令牌无效，拒绝请求
die("Invalid token");
}

// 验证用户身份
if ($username === "admin" && $password === "password") {
// 登录成功
echo "Login success";
} else {
// 登录失败
echo "Login failed";
}
?>

5.Conclusion

Les attaques CSRF constituent une vulnérabilité de sécurité Web courante qui peut entraîner de graves conséquences en matière de sécurité. En prenant des mesures préventives efficaces, telles que la vérification de la source des requêtes, l'utilisation de jetons de nombres aléatoires, la mise en œuvre de restrictions strictes entre domaines, la vérification stricte des entrées des utilisateurs et l'utilisation de cadres et de bibliothèques de sécurité, vous pouvez prévenir efficacement les attaques CSRF et garantir la sécurité des applications Web. .

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!