Validation du jeton CSRF dans PHP: le faites-vous correctement?

Découvrez la méthode correcte pour valider votre jeton CSRF sous des formes PHP. Découvrez pourquoi les bons contrôles peuvent empêcher efficacement les attaques du CSRF. --- Cette vidéo est basée sur la question https://stackoverflow.com/q/73312646/ a demandé par l'utilisateur 'VCS-Jacob' (https://stackoverflow.com/u/19530250/) et sur la réponse https://stackoverflow.com/a/73312691/ fourni par l'utilisateur 'quentin'.com/a/73312691/ par l'utilisateur' quentin '( https://stackoverflow.com/u/19068/) sur le site "Stack Overflow '. Merci à ces grands utilisateurs et à la communauté StacKExchange pour leurs contributions. Visitez ces liens pour le contenu original et plus de détails, tels que des solutions alternatives, les dernières mises à jour / développements sur le sujet, les commentaires, l'historique de révision, etc. Par exemple, le titre original de la question était: est-ce une façon correcte de valider mon jeton CSRF? De plus, le contenu (sauf la musique) sous licence CC BY-SA https://meta.stackexchange.com/help/licensing Le message de question d'origine est sous licence de la licence «CC BY-SA 4.0» (https://creativecomons.org/licenses/by-sa/4.0/) et la licence de réponse originale est licensée sous la licence «CC par sa 4.0», et la licence de réponse originale est licene https://creativecommons.org/licenses/by-sa/4.0/) Licence. Si quelque chose vous semble, n'hésitez pas à m'écrire chez vlogize [at] gmail [dot] com. --- Validation du jeton CSRF dans PHP: le faites-vous correctement? La contrefaçon de demande de site transversal (CSRF) est une menace de sécurité sérieuse qui peut compromettre les données des utilisateurs et conduire à des actions non autorisées dans les applications Web. La mise en œuvre de la protection CSRF appropriée sous vos formulaires est essentielle pour maintenir l'intégrité et la sécurité de votre site Web. Dans ce guide, nous explorerons une question commune entourant la validation des jetons CSRF en PHP et nous apportera une clarté sur l'approche correcte. Comprendre les jetons CSRF Un jeton CSRF est une valeur unique, secrète et imprévisible générée pour chaque session utilisateur. Ce jeton est ensuite inclus dans un formulaire, garantissant que les demandes faites au serveur sont authentiques et non réalisées par des acteurs malveillants. Voici un aperçu simple de la façon dont il fonctionne: Création de session: Lorsqu'un utilisateur commence une session sur votre site Web, un jeton CSRF est généré et stocké dans sa session. Inclusion de formulaire: ce jeton est ensuite inclus dans les formulaires en tant que champ de saisie caché. Validation: Lorsque le formulaire est soumis, le serveur vérifie si le jeton du formulaire correspond à celui stocké dans la session. Le problème avec la validation des jetons Voici un scénario: vous avez implémenté les jetons CSRF dans vos formulaires PHP, mais vous ne savez pas si votre logique de validation est correctement configurée. Décomposons le code de validation que vous utilisez actuellement: [[voir la vidéo pour révéler cet extrait de texte ou de code]] Les questions de clé sont la condition ($ _post ['Token']! == $ _Session ['Token']) validant efficacement le jeton CSRF? Que se passe-t-il si vous simplifiez la validation pour vérifier simplement l'existence du jeton? L'importance de la validation ici une ventilation des deux scénarios de validation: la méthode de validation originale [[voir la vidéo pour révéler cet extrait de texte ou de code]] Vérifie si un jeton existe: la première partie garantit que le jeton est présent dans la soumission de la forme. Correspond à Session Token: La deuxième partie vérifie si le jeton soumis correspond à celui stocké dans la session. Avantage: cette méthode est sécurisée. Un attaquant ne peut pas prédire le jeton valide stocké dans la session, ce qui leur rend difficile d'exploiter votre formulaire. Méthode de validation simplifiée [[voir la vidéo pour révéler cet extrait de texte ou de code]] ne vérifie que l'existence: cette condition garantit seulement qu'un jeton est présent mais ne vérifie pas sa validité par rapport au jeton de session. Risque: Cela pourrait permettre des attaques CSRF. Un attaquant peut soumettre un formulaire avec n'importe quel jeton, et si l'utilisateur est connecté, la demande serait traitée sans vérification contre le jeton valide stocké dans la session. Conclusion La méthode de validation d'origine est nécessaire et sécurisée car elle vérifie à la fois la présence et la précision du jeton CSRF. La suppression de la deuxième condition rend votre application vulnérable aux attaques du CSRF, car elle pourrait permettre aux demandes malveillantes de passer par sans contrôle. Les plats clés valident toujours les jetons CSRF par rapport à la valeur stockée de la session. Protéger vos formulaires contre les attaques du CSRF est crucial pour maintenir la sécurité sur votre site Web. En suivant ces meilleures pratiques, vous protégerez efficacement vos applications Web contre les menaces potentielles. Si vous avez des questions ou avez besoin de clarification sur les implémentations de jetons CSRF, n'hésitez pas à contacter la section des commentaires ci-dessous!