RSS   Twitter   Copiny   Copiny
Нашел ошибку? 

Выдели фрагмент текста с ошибкой или неточностью и нажми Ctrl+Enter!

Использование Токена против CSRF атак

Токены (Token) обеспечивают дополнительный уровень безопасности при отправки форм залогинеными пользователями. После того как пользователь вошел на сайт Joomla (даже если он еще не залогинился), система присваивает ему уникальный идентификатор. По нему можно легко отличать посетителей друг от друга, отслеживать действия и переходы пользователя по сайту. Но тут возникает проблема связанная с безопасностью, а именно если идентификатор сессии пользователя попадет в руки злоумышленнику. Тогда последний сможет не зная логина и пароля, ходить по сайту под чужим именем и т.д. Атака подобного рода носит название CWE-352: Cross-Site Request Forgery (CSRF) - Подделка межсайтовых запросов. Разберемся как уберечь себя от подобной ситуации.

Обычный пользователь интернета, открыл в своем браузере две разные вкладки - на одной открыт сайт на Joomla, на другой сайт злоумышленника с вредоносным JavaScript и при этом  в настройках безопасности пользовательского браузера скрипты сайта могут управлять любыми окнами. Таким образом сайт злоумышленника без ведома пользователя будет получать желаемую информацию с посещенных страниц, отправлять формы. Здесь описан простейший метод атаки, от которого современные браузеры защищены. Подробнее  можно прочитать, например, на сайте securitylab.ru.

Joomla в своем арсенале имеет готовый способ защиты от CSRF-атак. Для этого нужно воспользоваться статическими встроенными классами JUtility, JRequest и JHTML.

Уникальный идентификатор пользователя (так же его иногда называют токеном, маркером, ИД-шником и прочее...) добавляется следующим образом:

index.php?tokenValue=1

где tokenValue - уникальное значение (нечто похожее на md5).

Реализовывается это в расширении следующим образом:

// получаем Токен
$token = JUtility::getToken();

// собираем URL с включенным Токеном
$url = 'index.php?option=com_foobar&controller=foo&task=bar&'.$token.'=1';

$url = JRoute::_($url);

В примере идентификатор был передан как GET-параметр. Как известно, в адресе должны передаться только параметры для чтения страницы, что не свойственно для токена. Обычно он передается вместе формой в POST. Делается это следующим образом:

// импорт JHTML
jimport('joomla.html.html');

// вставляем скрытое поле в форму
echo JHTML::_('form.token');

Для проверки воспользуемся методом JRequest:checkToken(). Он вернет булево значение — правильный, либо нет маркер. Ниже идет небольшой пример использования. Примерно так же проверяются формы в панели управления Joomla.

// проверка маркера
JRequest::checkToken() or jexit('Invalid Token');

Примечание: функция jexit() - это наиболее верный способ моментальной остановки работы Joomla. Почему нельзя использовать die()?

По умолчанию, checkToken() проверяет данные из массива POST. Первым аргументом можно явно указать, где искать маркер.

// проверка токена из GET
JRequest::checkToken('GET') or jexit('Invalid Token');

В предыдущих примерах мы поступали очень жестко — при несовпадении маркеров просто выход из программы. Можно расширить текст ошибки и добавить соответствующий HTTP заголовок.

// проверяем индентификатор
if (!JRequest::checkToken('REQUEST')) {
    // возвращаем 403 заголовок (Запрещено!)
    JError::raiseError(403, JText::_('ALERTNOAUTH'));
 
    // остановка выполнения сценария
    jexit('Invalid Token');
}

Обычно в Joomla используется для одного пользователя один и тот же маркер, что не совсем верно с точки зрения безопасности. Рекомендуется для всех форм на сайте использовать различные значения, особенно будет полезно для сайтов с высокими требованиями к безопасности. Но с различными маркерами нужно быть очень осторожным. Например, пользователь может открыть один сайт на нескольких вкладках сразу, тогда проверка может серьезно затрудниться из-за устаревания, проверки "не тех" маркеров и.т.д. Поэтому, прежде чем делать подобные проверки, лучше хорошенько обдумать, стоит оно того или нет.

Следующий листинг демонстрирует, как заново сгенерировать метку

// старый маркер
$oldToken = JUtility::getToken();
 
// новый маркер
$newToken = JUtility::getToken(true);

Легко! Но нужно быть внимательным и чтобы не смешать различные маркеры, лучше генерировать его в самом начале работы компонента, тогда можно быть увереным в его уникальности.

Для дополнительной безопасности, иногда проверяют реферер (HTTP_REFERER). Но тогда могут возникнуть проблемы для пользователей которые работают в интернете через какие-нибудь фаерволы или прокси сервера, которые обычно блокируют этот заголовок. Поэтому подобную проверку нужно тоже использовать только в крайних случаях. Следующий пример демонстрирует, проерку реферера и в случае неудачи выводит соответствующую ошибку.


// проверка маркера
JRequest::checkToken() or jexit('Invalid Token');
 
// берем реферер
$referer = JRequest::getString('HTTP_REFERER', null, 'SERVER');
 
// проверка реферера
if ($referer != null && $referer != '') {
 
    // проверка реферера
    if (JURI::isInternal($referer)) {
 
        // не верный реферер
        jexit('Invalid Referrer');
    }
}

Смотрите также:
Комментарии (4) Добавить комментарий
  • what
    what
    05 Мая 2012, 01:48
     ↑  0  ↓     ответ

    tset

  • what
    what
    05 Мая 2012, 01:49
     ↑  0  ↓     ответ

    dwewe

  • имя
    имя
    06 Февраля 2013, 19:45
     ↑  0  ↓     ответ

    Для создателя этой статьи:

    Если вы не умеете танцевать, то нечего и других учить!

    Вашу защиту обойти как 2 раза плюнуть:

    Форум АНТИЧАТ - Обход защиты от CSRF посредством XSS

    forum.antichat.ru/printthread.php?t=273030

    Надо ДОПОЛНИТЕЛЬНО создавать защиту на iframe - только в этом случае token будет полезным!

  • не профессионал
    не профессионал
    19 Февраля 2015, 21:03
     ↑  0  ↓     ответ

    Всем привет,

    Скажите, а разве POST запрос не генерирует свой token идентификатор? зачем дополнительные танцы?

Оставить комментарий




* обязательно для заполнения

1 введенный почтовый адрес используется только для обратной связи при ответах в комментариях и сервиса gravatar.com
.