如何防止 PHP、csrf、xsrf 中的表单重放/中间人攻击

Question

我有一个网络表单，并且正在使用 PHP。我知道表单可以被操纵（我相信这称为重放攻击或中间人攻击）。所以我想使用一些真实性令牌作为隐藏字段。

我知道的威胁可能性是：

• 攻击者劫持合法用户的表单（我认为这是中间人攻击）
• 合法用户本身就是攻击者：他获取表单，读取令牌，但使用它发送危险数据（我认为这是重放攻击）

在我回答问题之前，如果我到目前为止所说的任何内容不正确，请纠正我，因为也许我的理解有缺陷。

现在的问题是：

• 生成此令牌的最佳实践是什么，以便没有它的表单被拒绝（例如，加盐？）。
• 人们如何确保令牌不被重放。

基于评论的新小问题：

• 会话劫持与中间人攻击相同吗？

Answer 1

您在标题中提到了 CSRF，但在您的问题中并未真正涵盖它。

您可以在线阅读详细信息，但 CSRF 基本上是一种攻击，允许合法的用户在不知情的情况下提交到网站。例如，如果 SO 不能防止此类攻击，我可以制作一个表单，当您单击我的这个不良表单时，会导致您的 SO 配置文件信息发生更改，并期望发生其他情况（“赢得一百万美元！点击这里！！”）。此表单将使用您的浏览器 cookie 对您进行身份验证，并让您认为您正在合法提交个人资料更新。

为了防止这种情况，您确实需要做几件事：

• 确保 GET 不会导致更新（例如，不要使用 GET 上的查询参数将新的状态更新发布到用户的个人资料）
• 确保所有 POST附有一个隐藏字段，可让您验证该表单是由您的服务而不是其他人生成的，并且是针对目标用户的。因此，这个隐藏字段必须由服务器每次发送表单的 html 时生成，并且对于该会话的该用户来说应该是唯一的。

第二项的替代方法是检查引荐来源网址是否始终是您的网站或您期望发布 POST 的网站。我不鼓励非 HTTPS 站点这样做，因为某些浏览器/网络硬件会删除引荐来源网址，并且引荐来源网址的存在并不总是可靠的。

Answer 2

用于生成令牌的方法并不是非常重要。 重要的是令牌只能使用一次。在用户会话中保留为用户生成的令牌列表。如果用户提交表单并且提交的令牌不在会话中，您可以拒绝该表单。

防范中间人有点困难。我见过的一种常见技术是将所有隐藏表单字段包含在哈希函数中以生成令牌，然后根据已知的隐藏字段重新生成令牌。然而，这只能防止隐藏的领域操纵，这可能不是中间人的最终目标。

当用户成功提交带有令牌的表单时，从会话中删除令牌，因此该提交的任何重播都会失败。然而，所需要的只是用户再次请求表单来生成另一个令牌。然后可以在后续的自动攻击中使用该新令牌。 换句话说，表单令牌对于对抗 CSRF 很有用，但对于对抗自动重放和中间人攻击却不是非常有效。

同样，您将希望调整您的应用程序以不需要用户在表单上使用后退按钮。如果他们的提交存在问题，您将需要将填写了数据的表单返回给用户。如果用户点击后退按钮来更正错误，她的提交将因现在无效而失败令牌。

另外，坦率地说，当您需要担心请求重放和中间人攻击时，您的用户连接已经受到损害，并且您可能无能为力来减轻任何损害。仅 SSL 就足以针对 MITM 和重放提供足够的保护级别，如果您担心这一点，那么您将在 SSL 下运行......

Answer 3

为了生成该令牌，我使用了一种似乎效果很好的策略。

• 将 cookie 设置为随机值（使用通常的技巧在服务器上生成）并根据您的需要将其设置为过期。
• 当提供带有表单的页面时，嵌入一个隐藏字段，其值等于此 cookie 的值。
• 处理帖子时，验证该字段是否存在，并且该值与用户的 cookie 匹配

Answer 4

csrf-magic 是 CSRF 令牌的一个很棒的类，它会自动将它们放入您的页面

http://csrf.htmlpurifier.org/

“csrf-magic 使用 PHP 的输出缓冲功能动态重写文档中的表单和脚本。它还将拦截 POST 请求并检查其令牌（使用各种算法；一些生成随机数，一些生成用户特定的令牌）这意味着，对于带有表单的传统网站，您可以将 csrf-magic 放入您的应用程序中，然后就不用管它了！”