Правильно ли я защитил сайт?

Question

[Mors Clamor]

Здравствуйте! Реализую авторизацию на сайте и CSRF защиту, и не уверен, правильно ли сделал.
Авторизация:
В БД у пользователя есть поле authKey, при авторизации создается кука authKey со значением поля. authKey - случайная строка, сформированная криптостойким алгоритмом, 32 байта. Кука никак не зашифрована - нормально ли это?

CSRF:
Создание токена

public function generateCSRF() {
        $strong = true;
        if (!isset($_SESSION["csrf"])) {
            $_SESSION["csrf"] = bin2hex(openssl_random_pseudo_bytes(32, $strong));
        }
        return $_SESSION["csrf"];
    }

Проверка:

public function checkCSRF(string $csrf):bool {
        return $_SESSION["csrf"] == $csrf;
    }

Ну и checkCSRF используется при проверке формы, куда этот ключ записывается как скрытое поле
Заранее спасибо!

Comments

[Boris Köln]

Идея правильная, но в реализации есть недоделки:
Нет проверки на существование ключа в массиве.
Нет проверки наличия сессия и ее запуска

[Mors Clamor]

Boris Korobkov, запуск сессии происходит после старта приложения, а по поводу ключа в массиве - что имеется ввиду? Я проверяю существование ключа csrf в сессии, и если его нет генерирую новый

[Boris Köln]

66demon666, в checkCSRF нет проверки ключа в массиве

[Mors Clamor]

Boris Korobkov, а зачем она там, если ключа нет, то функция просто вернет false. При отсутствии csrf токена это поведение мне и нужно

[Boris Köln]

если ключа нет, то функция просто вернет false

... и кинет Warning

Во-вторых, для $csrf = "" или "0" будет true

[Mors Clamor]

Boris Korobkov, хорошо, спасибо

[Александр Торопов]

А где в этом коде кука?

Answer 1

[Dimonchik]

правильно
ты, главное, идею пойми
а как поймешь - поймешь что csrf лучше ставить JS кодом, уже сложнее для атакующего, ну и прочие навороты
ну и проверка-то правильная
а вот вставил ли ты ее ВО ВСЕ страницы где она нужна?

Comments

[Mors Clamor]

я пишу своё MVC - "решение", в обучающих целях, во многом оглядываясь на Yii2, поэтому csrf токен попадает во все формы методом контроллера generateCSRF, естественно, если не прописать, токена не будет и форма будет отклонена. Принцип CSRF я "вроде как" понял, но решил убедиться, спасибо большое)

Answer 2

[catanfa]

описанный метод защитой от CSRF не является. Атакующий может с помощью JS послать запрос на ваш сайт, и браузер передаст любые куки автоматически, таким образом CSRF атака успешно состоится. Попробуйте сами. Обычно csrf токен представляет из себя скрытое поле формы, которое генерится каждый раз уникальное, и проверяется на сервере. При таком раскладе атакующий не может знать значения этого поля, и с соответственно атака не пройдёт.

Comments

[Mors Clamor]

Да блин, мне тут весь код проекта приводить чтоли) метод generateCSRF вызывается в шаблоне формы. Форма получается с уникальным ключом.

[catanfa]

66demon666, хорошо, но при этом этот уникальный ключ также попадает в сессию, а сессия на куках. То есть фактически чтобы пройти CSRF защиту, нужно передать сессионную куку, верно? Если да, то это не защита от CSRF.

[Mors Clamor]

catanfa, в таком случае поясните. Левый сайт не может взять и вытащить у клиента куку от моего сайта. В чем проблема-то?

[catanfa]

Как по-вашему работает CSRF атака? Левый сайт не может увидеть куку, но он может послать любой запрос с помощью JS на ваш сайт, и браузер передаст все куки. Таким образом, запрос будет авторизован, и атакующий может, например, удалить ваши данные. Видеть куку при этом необязательно. Так работает CSRF.

[Mors Clamor]

catanfa, ну допустим отправит. Для каждой формы генерируется свой токен и пишется в сессию. Допустим. Предположим, также, что CORS мы шлем куда подальше также, ну всякое может быть. И что это даст злоумышленнику? Откуда у юзера в сессии актуальный токен, если он не был сгенерирован. Метод checkCSRF принимает значение для проверки, $_POST['csrf'], например. Чтобы злоумышленник смог что-то сделать, ему нужно отослать в POST запросе токен, который находится в сессии. Ну если только угадать.

С новым годом вас, кстати)