これはクロスサイトフォーム注入の安全なソリューションですか？

Question

は、私たちがこの

<?php 
session_start(); 
$_SESSION['token'] = rand(0, 6000000); 
echo ' 
<form method="post" action="submit.php/?token='.$_SESSION['token'].'"> 
... 
</form> 
'; 
?> 

そしてフォームハンドラsubmit.php

<?php 
if($_GET['token'] == $_SESSION['token']) { 
//form is valid, do stuff 
} else { 
header("Location: index.php"); 
//give the attacker boot 
} 
?> 

のようなフォームは、このフォームは、フォームが第三者にhttp://somesite.com/submit.php?token=non-genuine-numberに要求を提出し実行することにより、偽造できる方法はあります持っている想像してみてウェブサイト？ $_SESSIONトークンのデータが生成され、偽装されている可能性がありますが、正しいセッションデータがない場合は、本物のサイトのリンクをクリックして管理者を欺くことを話していません。

Answer 1

セキュリティの観点からは、安全であるとはみなされませんでした。

攻撃者は、ユーザーがフォームをダウンロードしたとき（または観察しても）、適切なタイミングで攻撃を開始できます。彼はまた、6000000から選択された数値をヒットする必要があります。エントロピーは〜22.5ビットと思われますが、実際にはそれはさらに小さくなります（rand_bytes（）またはrandom_int（）とは対照的にrand ）またはLinuxで/ dev/urandomから読み込み）。

したがって、実際に悪用するのは簡単ではないかもしれませんが、セキュリティコードレビューではベストプラクティスに反するため、セキュリティコードの見直しには欠陥があります。

編集：

次の2つのシンプルなものやっによって（効果的に正しく同期化トークンパターンを実装する）ソリューションをたくさん改善することができます：

• random_bytes（のような安全なPRNGを使用する）

• 増加エントロピーたくさん

トークンをbin2hex(random_bytes(16))のように生成した方がはるかに良いでしょう。

編集2：つべこべため

もう一つ。 URLパラメータはすべての種類の場所に記録されるため、攻撃者がそれを取得する可能性があるため、URLにトークンを送信しないことをお勧めします。ただし、1回限りのトークン（すべてのページ要求で新しいトークンが生成される）では、リスクが多少軽減されます。 OWASPなどで提案されている隠しフォームフィールドを使用する方が良いでしょう。