Comment envoyer sécuriser les requêtes AJAX avec PHP et jQuery

Le problème

Donc, pour un certain temps maintenant, j'ai fait des expériences avec différents AJAX approches dans l'envoi de données à un serveur qui seront traitées et stockées dans une base de données MySQL.

La page de la requête AJAX hits api.php, utilise PHP PDO préparées pour enregistrer les données, MySQL injections ne sont pas vraiment un problème et que les mots de passe ou des données qui doivent être chiffrées sont également traitées par api.php ce qui n'est pas ce que je demande ici. Ma question porte davantage sur la façon d'assurer la sécurité des données lors du transfert à partir du client vers le serveur.

Les approches

J'ai actuellement (pour la connexion exemple, j'ai inclus ci-dessous):

Certificat SSL/HTTPS en cours d'exécution sur le domaine.
Certains requête AJAX (évidemment pas à cette demande de connexion exemple qu'il n'y a pas de session pour commencer) ne fonctionnera que si la Session PHP est valable sur tout le site (utilisé sur les deux login.php et api.php dans cet exemple).
La limitation du débit sur api.php lors de l'accès aux fonctions.
PHP PDO préparées lors de l'interaction avec la base de données à l'intérieur de api.php.
Le cryptage des données sensibles à l'intérieur de api.php (pas pertinente pour la question).

Les questions

Enfin, mes questions sont les suivantes:

Est cette approche à l'aide de HTTP asynchrones (Ajax) les demandes suffisamment en sécurité pour l'utilisation, plutôt que de simplement transmettre des données à une page PHP et la redirection de partir? (Ce qui améliore l'expérience de l'utilisateur).
Comment puis-je vérifier pour savoir que les données de mon utilisateur l'envoi n'a pas été altéré?
Suis-je raisonnablement faire assez pour protéger mes données de l'utilisateur, sinon, que puis-je faire?

L'exemple

Je comprends que tout le monde a différentes approches de la gestion de leurs données du site et le transport de données. Je comprends aussi que peu importe ce que vous faites, vous ne pouvez jamais être protégé à 100%, il y a peut-être des vulnérabilités et des moyens autour de votre système que vous ne pouvez pas le prendre en compte. Je suis à la recherche de commentaires, améliorations sur mon approche générale dans l'envoi de données en toute sécurité plutôt que critique de la spécifique de code ci-dessous n'est qu'un exemple. Mais toutes les réponses constructives sont les bienvenus. Merci de prendre le temps de lire/réponse.

function loginUser() {
    var process = "loginUser";
    var data = $("form").serializeArray();
    data[1].value = SHA512(data[1].value); //sha then encrypt on api.php page 
    data = JSON.stringify(data);

    $("#loginButton").html('<i class="fa fa-spinner fa-pulse fa-lg fa-fw"></i> Login');
    $.ajax({
        type: "POST",
        url: "api.php",
        data: {"process": process, "data": data},
        success: function(data) {
            if (data.response.state == "success") {
                //if api.php returns success, redirect to homepage
            } else {
                //if api.php returns failure, display error
            }  
        },
        error: function(jqXHR, textStatus, errorThrown, data) {
            //error handling
        },
        dataType: "json"
    });
}

1. oui 2. le SHA512 est mignon, mais si quelqu'un peut modifier les données en transit, ils peuvent mettre à jour la table de hachage aussi, donc ne vous embêtez pas avec elle. 3. utiliser https pour assurer l'intégrité

InformationsquelleAutor Luke Brown | 2016-06-19

56

1. Vérifier l'en-tête d'ORIGINE

Comme spécifié par l'OWASP, ce n'est pas assez, mais recommandé :

Bien que c'est facile de falsifier tout en-tête de votre propre navigateur, il est généralement impossible de le faire dans une attaque CSRF, sauf par l'intermédiaire d'une vulnérabilité XSS. C'est pourquoi la vérification des en-têtes est raisonnable, première étape dans votre CSRF de la défense, mais comme ils ne sont pas toujours présent, il est en général pas considérée comme suffisante de la défense sur son propre.

Et par Mozilla :

L'en-tête d'Origine est considéré comme efficace contre le vol de données JSON et les attaques de type CSRF. Les informations fournies par Origine-un peu d'une demande de création de l'information--devrait fournir des conseils sur des serveurs web au sujet de la fiabilité de demandes [...]

La vérification de la HTTP_ORIGIN en-tête peut être écrite comme :
```
header('Content-Type: application/json');

if (isset($_SERVER['HTTP_ORIGIN'])) {
    $address = 'http://' . $_SERVER['SERVER_NAME'];
    if (strpos($address, $_SERVER['HTTP_ORIGIN']) !== 0) {
        exit(json_encode([
            'error' => 'Invalid Origin header: ' . $_SERVER['HTTP_ORIGIN']
        ]));
    }
} else {
    exit(json_encode(['error' => 'No Origin header']));
}
```
1. (bis) Vérifier l'en-tête REFERER

Nouveau à partir de l'OWASP :

Si l'en-tête d'Origine n'est pas présent, vérifiez que le nom d'hôte dans l'en-tête Referer correspond au site d'origine. La vérification de la referer est une méthode couramment utilisée pour la prévention des CSRF sur les périphériques réseau, car il ne nécessite pas de l'état par utilisateur.. Cette méthode de CSRF atténuation est aussi couramment utilisé avec les requêtes authentifiées [...]

La vérification de la HTTP_REFERER est également très simple en PHP avec $_SERVER['HTTP_REFERER'], vous pouvez simplement mettre à jour le code ci-dessus avec elle.

ÊTRE PRUDENT avec la vérification qui a toujours besoin d'être très précis : ne pas cocher juste example.com ou api.example.com mais l'ensemble de la https://example.com. Pourquoi ? Parce que vous pourrait usurper cette case à l'origine comme api.example.com.hacker.com.

2. Générer des jetons CSRF

Bien expliquées réponse spécifique à PHP a été donné il y, en bref :
1. Générer le jeton :
```
session_start();
if (empty($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}
```
2. L'ajouter dans votre "vues" par l'intermédiaire d'un méta (comme Github) :
```
<meta name="csrf-token" content="<?= $_SESSION['csrf_token'] ?>">
```
3. Installation de jQuery ajax appels d'inclure ce jeton :
```
$.ajaxSetup({
    headers : {
        'CsrfToken': $('meta[name="csrf-token"]').attr('content')
    }
});
```
4. Côté serveur, vérifiez vos requêtes AJAX :
```
session_start();
if (empty($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}

header('Content-Type: application/json');

$headers = apache_request_headers();
if (isset($headers['CsrfToken'])) {
    if ($headers['CsrfToken'] !== $_SESSION['csrf_token']) {
        exit(json_encode(['error' => 'Wrong CSRF token.']));
    }
} else {
    exit(json_encode(['error' => 'No CSRF token.']));
}
```
La plupart des frameworks PHP ont leur propre CSRF de la mise en œuvre, ce qui est plus ou moins sur le même principe.

3. ~~Désinfecter~~ valider la saisie de l'utilisateur.

Vous devez ~~filtre~~ espace des entrées et valider.

4. Protéger votre serveur
5. Ne faites jamais confiance à la saisie de l'utilisateur

Comme @blue112 dit, il est l'un des plus élémentaires les principes de la sécurité.
- X-Requested-With est un non-d'en-tête standard qui n'a jamais dit à vous que l'URL qui a initié la demande. C'est Origin, qui est facilement falsifiés si l'attaquant n'est pas une attaque CSRF.
- J'ai édité ma réponse 🙂
- J'ai dû changer la clé du tableau de session de "Csrf Token", sinon qu'il fut renommé sur mon serveur "Csrftoken" dans apache en-têtes.
- est-il suffisamment sécurisé pour l'utilisation openssl_random_pseudo_bytes() pour la génération aléatoire d'octets?
- Je ne suis pas un expert en sécurité cryptographique. Cependant, le PHP documentation officielle et quelques recherches sur google me dit que "pseudo-aléatoire" est moins aléatoire que "aléatoire cryptographique". En outre, Symfony et Laravel (basé sur Fondation) sont également à la fois à l'aide de random_bytes.
InformationsquelleAutor Ivan Gabriele
1

Réponse courte: vous ne pouvez pas protéger votre côté client.

Réponse longue:
- À l'aide d'AJAX est tout aussi sûr que l'affichage des données avec, par exemple, un formulaire.
- À l'aide de HTTPS qui empêche l'homme-dans-le-milieu pour voir vos données utilisateur, de sorte que les données envoyées par l'utilisateur sont en sécurité.
Vous ne pouvez pas faire quelque chose pour rendre le navigateur de prouver qu'il est en fait votre code javascript qui s'exécute côté client.
Ensuite, la première action à entreprendre est la plus simple: ne faites JAMAIS CONFIANCE à la SAISIE de l'UTILISATEUR.

- Ce à dire, comme vous avez commencé à faire, la sécurisation de votre côté serveur à l'aide de session, limite de vitesse, la validation des données, fail2ban (interdiction ip d'un client après un certain nombre d'échec), la surveillance des journaux...
- re: "Vous ne pouvez pas faire quelque chose pour rendre le navigateur de prouver qu'il est en fait votre code javascript qui s'exécute côté client": ce n'est pas vrai, puisque vous pouvez utiliser le integrity attrib et un hachage sur la balise script. ça ne pourra pas prouver qu'il est le seul de JS en cours d'exécution, mais il faudra prouver votre JS devriez avoir exécuté.
- Mal. Vous avez ABSOLUMENT AUCUN côté serveur façon de prouver un JS est exécuté sur le côté client.
- je faisais allusion à l'navigateur prouver à l'utilisateur que c'était votre code en cours d'exécution. en termes de prouver à un serveur à partir d'un navigateur, vous avez probablement raison...
InformationsquelleAutor blue112
0

le meilleur moyen est encore de le faire côté serveur sécurisation et si j'étais un utilisateur connecté sur le site, je voudrais être capable de vérifier le jeton csrf sur ma balise meta et de forger un script sur le serveur. Ainsi, le pari sûr est côté serveur de validation

InformationsquelleAutor Osemwota Osagie Anthony

Vous devez vous connecter pour publier un commentaire.