فریمورک محبوب لاراول، در عین سادگی دارای نکات و جزئیات فراوانی است که یادگیری آنها نیازمند دقت و صرف زمان مناسب میباشد. یکی از نکات مهم در بحث امنیت، حفاظت سی اس آر اف در لاراول میباشد که از وب اپلیکیشنها در برابر حملات Cross-Site Request Forgery محافظت میکند. شناخت این نوع از حملات و راههای مقابله با آنها یکی از موارد مهمی است که هر برنامه نویس لاراول باید از آن آگاهی داشته باشد.
حمله CSRF چیست؟
CSRF مخفف Cross-Site Request Forgery میباشد که به معنای جعل درخواست از طریق سایت است. سی اس آر اف یک حفره امنیتی در وب است که به مهاجم اجازه میدهد تا کاربران را وادار به انجام کارهایی کند که قصد انجام آنها را ندارند. این حمله به مهاجم این اختیار را میدهد تا سیاستهایی که برای جلوگیری از دخالت وب سایتهای مختلف در کار یکدیگر طراحی شدهاند را دور بزند.
به عنوان مثال فرض کنید، کاربران سایت google.com با وارد کردن آدرس google.com/logout کوکی مرورگرشان حذف میشود و در نتیجه logout میشوند. حال اگر یکی از کاربران در یک سایت دیگر (مثلاً در یک انجمن شلوغ) تصویری با تگ img زیر ارسال کند و افراد دیگر حاضر در آن انجمن این تصویر را مشاهده کنند، از طرف مرورگرشان درخواستی به سایت گوگل ارسال میشود و موجب میشود تا همه کسانی که آن تصویر را دیدهاند از اکانت گوگلشان بیرون انداخته شوند.
<img src="http://www.google.com/logout/" alt="" />
البته این مثال یک نمونه ساده و غیر خطرناک بود. حالتهای بسیار خطرناک دیگری نیز وجود دارد.
CSRF چگونه کار میکند؟
سی اس آر اف باعث میشود برنامههای وب نتوانند بین درخواستهای معتبر و درخواستهای جعلی کنترل شده توسط مهاجم تمایز قائل شوند. روشهای زیادی وجود دارد که یک مهاجم سعی میکند از حفره امنیتی سی اس آر اف استفاده کند. در ادامه برای درک بهتر این نوع حملات، با ذکر یک مثال به توصیف چگونگی حملات سی اس آر اف در لاراول میپردازیم.
فرض کنید، شخصی به نام باب یک حساب بانکی آنلاین در سایت samplebank.com دارد. او مرتباً برای انجام معاملات خود از این سایت بازدید میکند. باب اطلاعی ندارد که samplebank.com در برابر حملات سی اس آر اف آسیب پذیر است. در همین حال یک مهاجم قصد دارد با استفاده از این حفرهی امنیتی ۵۰۰۰ دلار از حساب باب به حساب دیگر منتقل کند.
برای انجام موفقیت آمیز این حمله:
- مهاجم باید یک URL بهرهبرداری ایجاد کند.
- مهاجم باید باب را فریب دهد تا روی URL بهرهبرداری کلیک کند.
- برای لاگین کردن و کار با حساب، باب نیاز به یک session فعال در سایت samplebank.com دارد.
در ادامه، باب برای انتقال پول در سایت بانک، یک درخواست با روش GET ارسال میکند. به این ترتیب درخواست انتقال ۵۰۰ دلار به حساب دیگر (با شماره حساب ۲۱۳۳۶۷ ) ممکن است به شکل زیر باشد:
GET https://samplebank.com/onlinebanking/transfer?amount=500&accountNumber=213367
همانطور که قبلا گفتیم، یک مهاجم برای انجام موفق حمله سی اس آر اف باید یک url مخرب ایجاد کند تا ۵۰۰۰ دلار به حساب ۴۲۵۶۵۴ منتقل کند.
https://samplebank.com/onlinebanking/transfer?amount=5000&accountNumber=425654
حالتی را در نظر بگیرید که در آن از تگ img استفاده میشود. در این حالت، مهاجم ایمیلی حاوی یک تصویر به باب ارسال میکند. برنامهی مرورگر باب با دریافت آن، url موجود در تگ img را به صورت خودکار باز میکند. در نتیجه بدون دخالت باب، درخواست ناخواسته به سایت بانک ارسال میشود. اگر باب در سایت samplebank.com یک session فعال داشته باشد. سایت، این url را به عنوان درخواست انتقال پول از طرف باب شناسایی میکند و سپس مبلغ مورد نظر به حساب مشخص شده توسط مهاجم منتقل میشود.
البته توجه داشته باشید که برای انجام موفق حمله سی اس آر اف برخی محدودیتها وجود دارد. از جمله:
- این حمله تنها در صورتی موفقیت آمیز خواهد بود که کاربر دارای یک session فعال در یک وب سایت آسیب پذیر باشد.
- مهاجم باید یک url معتبر پیدا کند تا با سوءنیت آن را دستکاری کند. url مورد نظر لازم است باعث تغییر وضعیت در سایت هدف شود.
- در آخر مهاجم باید مقادیر مناسب پارامترهای url را پیدا کند. در غیر این صورت وب سایت هدف ممکن است درخواست مخرب را رد کند.
حفاظت CSRF یا CSRF Protection چیست؟
لاراول یک راهکار آسان به نام CSRF Protection برای محافظت در برابر حملات سی اس آر اف ارائه داده است. حفاظت سی اس آر اف در لاراول به این صورت است که به ازای هر کاربر فعال در اپلیکیشن، برنامه یک توکن سی اس آر اف تولید میکند. این توکن برای تایید این است که آیا درخواستی که ارسال میشود از سمت یک شخص واقعی است یا خیر.
هر وقت شما یک فرم HTML که با تگ <form> شناخته میشود را در صفحه ایجاد میکنید، حتماً باید توکن سی اس آر اف را در داخل آن قرار دهید، تا حفاظت سی اس آر اف در لاراول بتواند درخواست را تایید کند. در صورتی که این کار را انجام ندهید درخواست شما faild یا ریجکت میشود. برای انجام این کار تنها کافی است عبارت CSRF@ را در داخل تگ فرم خود قرار دهید. مانند کد زیر:
<form method="POST" action="/profile">
@csrf
...
</form>
میدلور VerifyCsrfToken که در گروه میدلورهای وب قرار دارد، به طور خودکار تایید میکند که توکن موجود در درخواست با توکن ذخیره شده در session مطابقت دارد یا خیر.
جلوگیری از حملات CSRF در PHP
در ادامه به معرفی چند روش برای جلوگیری از اینگونه آسیبها در php میپردازیم.
جلوگیری از حملات CSRF در لاراول با بررسی header صفحات
این کار میتواند به جلوگیری از حملات سی اس آر اف کمک کند. اگر درخواست از دامنه دیگری ارسال شده باشد، این درخواست حتماً جعلی است بنابراین باید مسدود شود.
جلوگیری از حملات CSRF در لاراول با تایید captcha در فرمها
تایید captcha یک روش خوب برای جلوگیری از حملات سی اس آر اف به فرمها میباشد. در ابتدا، فرآیند تایید کپچا برای جلوگیری از رباتها ایجاد شد. اما علاوه بر آن، میتوان از کپچا برای جلوگیری از حملات سی اس آر اف استفاده کرد. از آنجا که کپچا به صورت تصادفی در سمت کاربر ایجاد میشود، مهاجم نمیتواند الگو را حدس بزند.
بنابراین او هرگز قادر نخواهد بود که کپچای صحیح را با درخواست جعلی ارسال کند و همه درخواستهای جعلی مسدود میشوند. توجه داشته باشید که این روش زیاد کاربر پسند نیست. اکثر کاربران دوست ندارد که تعداد زیادی کپچا را در وب سایت پر کنند بنابراین باید تلاش کنیم تا راههای جلوگیری از سی اس آر اف را بدون اضافه کردن بار اضافی بر روی کاربران پیدا کنیم.
جلوگیری از حملات در لاراول با استفاده از توکنها
استفاده از توکنها ایمنترین روش برای جلوگیری از حملات سی اس آر اف میباشد. برخلاف روش کپچا، این روش هیچ ارتباطی با کاربران ندارد، بنابراین کاربران هرگز نمیدانند که چیزی برای محافظت از آنها اضافه شده است. در این روش، وب سایت یک توکن تصادفی در هر فرم به عنوان یک مقدار پنهان ایجاد میکند. این توکن با session کاربران مرتبط است. پس از ارسال فرم، وب سایت بررسی میکند که آیا توکن تصادفی از طریق درخواست ارائه میشود یا خیر. در صورت مثبت بودن جواب، درست بودن توکن بررسی میشود.
با استفاده از این روش، توسعه دهندگان میتوانند به راحتی تشخیص دهند که آیا درخواست توسط مهاجم انجام شده است یا خیر. مثلا:
[html]</pre>
<form action="accountdelete.php" method="post"><input type="hidden" name="CSRFToken" value="OWY4NmQdwODE4hODRjN2DQ2NTJlhMmZlYWEwYzU1KYWQwMTVhM2JmLNGYxYjJiMGI4jTZDE1ZDZjMTViMGYwMGEwOA==" />
…</form>
<pre>
[/html]
CSRF token چیست؟
توکن سی اس آر اف یک مقدار منحصر به فرد، مخفی و غیر قابل پیش بینی است که توسط برنامه در سمت سرور تولید و در هر درخواست کاربر گنجانده میشود. هنگامی که درخواست کاربر ارائه میشود، برنامه در سمت سرور تایید میکند که این درخواست شامل توکن مورد انتظار است، در صورت عدم وجود و یا نامعتبر بودن آن، درخواست توسط برنامه رد میشود. میزان تأثیر توکن به روش تولید آن بستگی دارد، بنابراین همیشه سعی کنید توکن را به روشی تولید کنید که غیر قابل پیش بینی باشد.
برای تولید توکن میتوانید از کد زیر استفاده کنید.
$randomtoken = md5(uniqid(rand(), true));
یا
$randomtoken = base64_encode( openssl_random_pseudo_bytes(32));
پس از ورود کاربر و ایجاد session لاگین، randomgtoken$ را ایجاد کنید و آن را به session اضافه کنید.
$_SESSION[‘csrfToken’]=$randomtoken
همچنین برای هر فرم، تگ مخفی زیر را اضافه کنید.
<input type=’hidden’ name=’csrfToken’ value='<?php echo($_SESSION[‘csrfTOken’]) ?>’ />
توکن سی اس آر اف برای هر session منحصر به فرد است. در هر session جدید دوباره توکن ایجاد میشود. همچنین شما میتوانید از یک توکن واحد برای همه فرمها استفاده کنید، اما استفاده از توکنهای متفاوت، ایمنتر میباشد. در ادامه به معرفی چند کلاس و کتابخانه اپن سورس php برای محافظت در برابر حملات سی اس آر اف میپردازیم. این موارد عبارتند از:
محافظت در برابر حملات CSRF با استفاده از کلاس NoCSRF
NoCSRF یک کلاسهای ساده و ضد حمله سی اس آر اف است که کار تولید توکن را انجام میدهد. همچنین شما میتوانید برای یادگیری نحوی پیاده سازی این کلاس در وب سایت خود از مثالهای ساده و زیاد موجود در حساب گیت هاب NoCSRF استفاده کنید.
محافظت در برابر حملات CSRF با استفاده از کلاس csrf by Skookum
csrf by Skookum یکی دیگر از کلاسهای php برای محافظت سی اس آر اف میباشد. این کلاس رایگان و برای همه در دسترس است. شما میتوانید آن را در برنامهی وب خود کپی و استفاده کنید. برای مشاهدی جزئیات بیشتر به صفحه گیت هاب csrf by Skookum مراجعه فرمایید.
محافظت در برابر حملات CSRF با استفاده از کتابخانه anticsurf
anticsurf یکی از کتابخانههای کوچک php است که میتواند برای جلوگیری از حملات CSRF در وب اپلیکیشنها استفاده شود. این کتابخانه ادعا میکند که محافظی قوی در برابر این نوع حملات است. همچنین از یک توکن یکبار مصرف استفاده میکند که دارای محدودیت زمانی میباشد. با مراجعه به سایت anticsurf میتوانید آن را دانلود کنید و اطلاعات بیشتری به دست آورید.
چگونه یک حمله CSRF ایجاد کنیم؟
ساخت دستی HTML مورد نیاز برای حمله سی اس آر اف میتواند وقتگیر باشد. به خصوص در مواردی که درخواست مورد نظر دارای تعداد زیادی پارامتر است و یا موارد دیگری در درخواست وجود دارد. سادهترین راه برای ایجاد یک حمله CSRF، استفاده از CSRF PoC generator (ابزاری برای طراحی راحتتر حمله) است که در مجموعه ابزار Burp Suite Professional قرار دارد.
برای ایجاد یک حمله CSRF مراحل زیر را طی کنید:
- هر نوع درخواستی را که میخواهید تست کنید در Burp Suite Professional انتخاب کنید.
- بر روی منوی سمت راست کلیک و Engagement tools / Generate CSRF PoC را انتخاب کنید.
- با استفاده از Burp Suite میتوانید HTMLهایی را ایجاد کنید که درخواستهای انتخابی را تحریک میکنند (منهای کوکیها، که به طور خودکار توسط مرورگر قربانی اضافه میشوند).
- برای تنظیم دقیق جنبههای مختلف حمله، میتوانید گزینههای مختلف را در CSRF PoC generato تغییر دهید.
- در آخر html تولید شده را در یک صفحه وب کپی کنید. سپس آن را در مرورگری که وب سایت آسیب پذیر در آن باز شده است، مشاهده کنید. پس از آن بررسی کنید که آیا درخواست مورد نظر با موفقیت انجام شده یا خیر.
غیر فعال کردن CSRF بر روی مسیرهای خاص در لاراول
گاهی اوقات بنابر شرایط، نیاز میشود تا در برخی مسیرهای خاص، سی اس آر اف را در لاراول غیرفعال کنیم. برای این کار از طریق مسیر زیر به فایل VerifyCsrfToken میرویم.
\App\Http\Middleware\VerifyCsrfToken
در این کلاس آرایه except$ وجود دارد. برای غیرفعال کردن سی اس آر اف در مسیرهای خاص، تنها کافی است url مورد نظر را در این آرایه قرار دهیم. پس از انجام این کار، مسیرهای مورد نظر از بررسی CSRF در لاراول خارج میشوند.
چرا باید از قابلیت CSRF Protection در لاراول استفاده کنیم؟
در این مقاله تلاش کردیم تا به طور کامل به توصیف حملات سی اس آر اف، چگونگی کارکرد آنها و روشهای جلوگیری از اینگونه آسیبها بپردازیم. توجه داشته باشید که این حفرهی امنیتی یکی از آسیبهای جدی وب سایت است که در صورت رعایت نکردن موارد امنیتی میتواند بسیار خطرناک باشد و یک کسب و کار را یک شبه از بین ببرد. چنانچه از لاراول استفاده میکنید، میتوانید به سادگی با استفاده از قابلیت CSRF Protection در لاراول از اینگونه حملات جلوگیری کنید.