elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Doble factor de autenticación o verificación en dos pasos


+  Foro de elhacker.net
|-+  Programación
| |-+  Desarrollo Web (Moderador: #!drvy)
| | |-+  [Aporte]: Sistema Anti ataques CSRF
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: [Aporte]: Sistema Anti ataques CSRF  (Leído 466 veces)
MiguelCanellas


Desconectado Desconectado

Mensajes: 511



Ver Perfil
[Aporte]: Sistema Anti ataques CSRF
« en: 8 Diciembre 2019, 23:49 »

Sistema anti ataques CSRF

Con este pequeño sistema se espera que los ataques CSRF ya no nos afecten, este es el segundo aporte que hago. El primero era un contador de llaves donde se podía ingresar un código y el programa iba a devolver la cantidad de llaves abiertas y cerradas.

Con esto quiero decir que este es mi primer aporte "avanzado" para mi así que por eso muy posiblemente existan fallos o áreas donde el código pueda ser mejorado.

El sistema lo que hace es crear tokens de seguridad de clave única cifrada, yo lo uso para evitar ataques en las paginas donde existan formularios, donde se use $_GET como por ejemplo un perfil (profile.php?id_user=x) y también lo uso en ficheros AJAX (realmente no estoy seguro si es necesario pero quería que en todas las partes de mi aplicación web donde se ejecuten funciones importantes exista este control de seguridad)

Con este código espero que me lluevan criticas, sugerencias para que podamos mejorarlo entre todos.

En principio creo 6 funciones, creo que esta de más decir que uso PHP para esto pero quería aclararlo.

La primera función servirá para crear un código de 22 caracteres unos 20 números + 2 letras en mayúsculas.
Código
  1. function Create_Code()
  2. {
  3. $year_code = date('Y');
  4. $month_code = date('m');
  5. $day_code = date('d');
  6. $hour_code = date('H');
  7. $minute_code = date('i');
  8. $second_code = date('s');
  9.  
  10. $random_code_A = rand(100000, 999999);
  11. $random_code_B = chr(rand(ord('A'), ord('Z')));
  12. $random_code_C = chr(rand(ord('A'), ord('Z')));
  13.  
  14. $result = ($random_code_A).($year_code).($month_code).($day_code).($hour_code).($minute_code).($second_code).($random_code_B).($random_code_C);
  15.  
  16. return $result;
  17. }
  18.  

La segunda función servirá para crear un token determinado para cada pagina que exista en nuestra aplicación.
Código
  1. function Create_Token($page)
  2. {
  3. if(is_string($page))
  4. {
  5. if(!isset($_SESSION['token_'.($page)]))
  6. {
  7. $token_csrf = Create_Code(); // Creamos un codigo unico
  8. $token_csrf = Hash_Data($token_csrf); // ciframos el codigo lo que nos va a dar una cadena de 60 caracteres
  9. $_SESSION['token_'.($page)] = $token_csrf; // se crea una session con el token generado
  10. }
  11. }
  12. }
  13.  

La funciòn hash_data (me había olvidado de ponerla, gracias por el aviso!)
Código
  1. function Hash_Data($data) // El tipo de cifrado es general, con esto quiero decir que uso esta función para cifrar contraseñas, códigos de activación de un email, etcétera, ustedes pueden usar el que quieran pero en mi aplicación como norma general uso este.
  2. {
  3. $result = 'Error';
  4.  
  5. if(is_string($data))
  6. {
  7. $result = password_hash($data, PASSWORD_BCRYPT);
  8. }
  9.  
  10. return $result;
  11. }
  12.  

La tercera función servirá para crear una lista de tokens (acá van a tener que poner todas las paginas que van a usar tokens, donde usen formularios, peticiones $_get, o ajax)
Código
  1. function Create_Tokens()
  2. {
  3. // Ajax
  4. Create_Token('ajax'); // acá recomiendo que creen un solo token para validar ficheros ajax
  5.  
  6. // Pages ($_POST or $_GET)
  7. Create_Token('login'); // este token pertenece a login.php donde estará el formulario de acceso
  8. }
  9.  

La cuarta función servirá para validar un token determinado.
Código
  1. function Validate_Token($page, $value)
  2. {
  3. $result = false;
  4.  
  5. if(is_string($page) && is_string($value))
  6. {
  7. if(isset($_SESSION['token_'.($page)]))
  8. {
  9. if(!empty($_SESSION['token_'.($page)]) && $_SESSION['token_'.($page)] === $value)
  10. {
  11. $result = true;
  12. }
  13. }
  14. }
  15.  
  16.    return $result;
  17. }
  18.  

Ahora vamos a ponerlo en práctica, por supuesto todas las funciones de arriba deberían ponerlas en una libreria que ustedes pueden crear e incluirla en todas sus paginas php incluyendo "Create_Tokens();" pero para este ejemplo vamos a dejarlo acá.
Código
  1. <!-- login.php -->
  2. <?php
  3. Create_Tokens();
  4. ?>
  5.  
  6. <form method="post">
  7.     <input type="text" name="el_texto"></input>
  8.     <input type="hidden" name="token_csrf" value="<?php echo($_SESSION['token_login']); ?>"> // Acá va a ir su token, fijense que le puse "token_login" esto tiene que ir personalizado dependiendo en que paginas lo usen
  9.      <button type="submit" name="el_submit"></button>
  10. </form>
  11.  
  12. <?php
  13. if(isset($_POST['el_submit'])) // cuando se envia el formulario
  14. {
  15.     if(isset($_POST['token_csrf']) && Validate_Token('login', $_POST['token_csrf']))
  16.     {
  17.        echo "mandaste ".$_POST['el_texto'];
  18.     }
  19.     else
  20.     {
  21.          echo "Se detecto un ataque CSRF";
  22.     }
  23. }
  24. ?>
  25.  

Bueno ahora vamos a aplicar esto a una pagina que use $_GET como por ejemplo un perfil.
Código
  1. <!-- profile.php -->
  2. <?php
  3. if(isset($_GET['id_user']) && isset($_GET['token_csrf']))
  4. {
  5.    $_GET['token_csrf'] = urldecode($_GET['token_csrf']);
  6.  
  7.    if(Validate_Token('token_profile', $_GET['token_csrf']))
  8.    {
  9.        [Ejecución]
  10.    }
  11.    else  
  12.    {
  13.        [Interrumpimos, redirigimos, etcétera] // ya que no es valido el token
  14.    }
  15. }
  16. else
  17. {
  18.     [Interrumpimos, redirigimos, etcétera]
  19. }
  20. ?>
  21.  

Cuando vayamos a redirigir a el usuario a una pagina donde se use $_get debe de ser así...
Código
  1. window.location.href = 'profile.php?id_user=<?php echo urlencode($id); ?>&token_csrf=<?php echo urlencode($_SESSION['token_profile']); ?>';
  2.  

En ajax sería así:
Código
  1. // ajax/fichero.php
  2. if(Validate_Token('token_ajax', $_POST['token_csrf'])) // $_POST['token_csrf'] depende de si en ajax ustedes usan GET o en este caso POST
  3. {
  4.     [Ejecución]
  5. }
  6. else
  7. {
  8.     [Interrupción]
  9. }
  10.  


Espero que les guste y si lo quieren usar que me comenté si les gusto, escucho criticas como ya dije y entre todos poder ir mejorando este sistema. Gracias!


« Última modificación: 14 Diciembre 2019, 20:00 por MiguelCanellas » En línea

@XSStringManolo
Colaborador
***
Desconectado Desconectado

Mensajes: 1.948


Turn off the red ligth


Ver Perfil WWW
Re: [Aporte]: Sistema Anti ataques CSRF (Espero sugerencias)
« Respuesta #1 en: 13 Diciembre 2019, 10:22 »

Estoy ciego o te falta la función hash_data() ?


En línea

AlbertoBSD
Programador y
Colaborador
***
Desconectado Desconectado

Mensajes: 3.447


🏴 Libertad!!!!!


Ver Perfil WWW
Re: [Aporte]: Sistema Anti ataques CSRF (Espero sugerencias)
« Respuesta #2 en: 13 Diciembre 2019, 18:16 »

Estoy ciego o te falta la función hash_data() ?

Lo mismo estaba por comentar.

La funcion create_code podria quedar mas sencilla.

Código
  1. <?php
  2. function Create_Code()
  3. {
  4. return hash("sha256",openssl_random_pseudo_bytes(1024));
  5. }
  6. ?>
  7.  


Por cierto tus llamdas a la funcion Validate_Token no van a funcionar ejemplo:

Código:
  if(Validate_Token('token_profile', $_GET['token_csrf']))
Código:
Validate_Token('token_login'

cuando en el codigo que publicaste dice:
Código:
if(!empty($_SESSION['token_'.($page)]) && $_SESSION['token_'.($page)] === $value)

Con lo cual estarias tratando de valiar la variable $_SESSION['token_token_profile']

Por cierto cree un tema respondiendote como implementar criptografia.
[Aporte] Validacion de token de forma Criptografica, evitar ataques CSRF
« Última modificación: 13 Diciembre 2019, 19:34 por AlbertoBSD » En línea

MiguelCanellas


Desconectado Desconectado

Mensajes: 511



Ver Perfil
Re: [Aporte]: Sistema Anti ataques CSRF (Espero sugerencias)
« Respuesta #3 en: 14 Diciembre 2019, 19:12 »

Lo mismo estaba por comentar.

La funcion create_code podria quedar mas sencilla.

Código
  1. <?php
  2. function Create_Code()
  3. {
  4. return hash("sha256",openssl_random_pseudo_bytes(1024));
  5. }
  6. ?>
  7.  


Por cierto tus llamdas a la funcion Validate_Token no van a funcionar ejemplo:

Código:
  if(Validate_Token('token_profile', $_GET['token_csrf']))
Código:
Validate_Token('token_login'

cuando en el codigo que publicaste dice:
Código:
if(!empty($_SESSION['token_'.($page)]) && $_SESSION['token_'.($page)] === $value)

Con lo cual estarias tratando de valiar la variable $_SESSION['token_token_profile']

Por cierto cree un tema respondiendote como implementar criptografia.
[Aporte] Validacion de token de forma Criptografica, evitar ataques CSRF

Ya agregue la función Hash_Data (me había olvidado, gracias por el aviso a los dos)
Ya corregí la función Validate_Token, acerca de la función "Create_Code" lo uso para que lo que vaya a devolver sea único e irrepetible, esta función es perfectamente aplicable cuando quieren renombrar archivos, imagenes, vídeos, etcétera que no quieren que tenga el mismo nombre para que no se pisen entre ellas, en este caso un token de seguridad que igualmente va a ser cifrado. string(60)
Por ahí la función que me mandaste que dijiste que es más sencilla capaz hace lo mismo la verdad nose no estoy muy familiarizado con eso xD

Vi tu tema, parece muy interesante igual le voy a dar una repasada otra vez xD
En línea

AlbertoBSD
Programador y
Colaborador
***
Desconectado Desconectado

Mensajes: 3.447


🏴 Libertad!!!!!


Ver Perfil WWW
Re: [Aporte]: Sistema Anti ataques CSRF (Espero sugerencias)
« Respuesta #4 en: 23 Diciembre 2019, 03:26 »

Por ahí la función que me mandaste que dijiste que es más sencilla capaz hace lo mismo la verdad nose no estoy muy familiarizado con eso xD

Creo que la función que te recomende es mejor incluso se podría utilizar la función random_bytes en lugar de la función openssl_random_pseudo_bytes.

La principal idea de genera un código de "seguridad" es que no pueda ser adivinable.

En función los valores que son tomados de la fecha son calculables año, mes dia, hora minuto y segundo son calculables, posteriormente los únicos valores random que tienes es el numero de de 6 dígitos que va del 100 mil al 999,999 adicional  eso los otros 2 valores que van de la A a Z.

Si es difícil adivinarlo, pero puede se puede mas o menos predecir su valor original. En cambio si obtienes X cantidad de bytes al azar, digamos 16 bytes al azar.
El numero de posibilidades es

Código:
255 *255*255 *255*255 *255*255 *255*255 *255*255 *255*255 *255*255 *255

Ahora en el ejemplo que te puse, indique que se podrían tomar 1024  bytes, sin embargo si viste el post que publique, el debate fue solo utilizar 16 o 32 bytes en la función.

Totalmente impredecible.

Código
  1. <?php
  2. function Create_Code()
  3. {
  4. return hash("sha256",random_bytes(32));
  5. }
  6. ?>
  7.  

Aplicamos la función hash sha256 a eso datos binarios y listo ya tenemos nuestro string.

Saludos
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines