为了账号安全,请及时绑定邮箱和手机立即绑定

课程

/后端开发

/PHP

/Yii框架不得不说的故事—安全篇(3)

如果伪造token和相对应的加密cookie去提交表单,需要怎样处理呢?

就是说在一个表单页面审核元素时,获取到表单的一次性token和相对应的加密cookie,用这一组数据去伪造表单提交,逻辑上也是可以成功的,请问应该怎样处理呢?

Julisky

2015-08-05

源自:Yii框架不得不说的故事—安全篇(3)  5-5

关注问题 我要回答
4599
操作
收起

正在回答

5 回答

withy老师 回答被采纳 +3 积分
2015-08-05

大哥,你这么干,真防不住。

1 回复 有任何疑惑可以回复我~
收起回答
#1

Julisky 提问者

<?php $token = 随机数; $_SESSION['token'] = $token; $_SESSION['token_time'] = time(); php程序比对表单token,然后再保险点,设置个token有效时间,其实就可以了;没有必要去用token弄一个对应的加密cookie
2015-08-07 回复 有任何疑惑可以回复我~
#2

Julisky 提问者

非常感谢!
2016-06-30 回复 有任何疑惑可以回复我~
好好爱
2016-06-20

我觉得 cookie中的_csrf应该由 PHPSESSID进行某种算法算出,其它用户拿到的_csrf数据在当前用户中无法通过验证。不然真的如Julisky说的那样。

0 回复 有任何疑惑可以回复我~
收起回答
#1

好好爱

纠正一下:应该是session_id(),而不是PHPSESSID。
2016-06-20 回复 有任何疑惑可以回复我~
君n
2015-08-12

其实在底下弄个iframe 里面是他的表单 然后拿iframe里面的值放入我们自己的表单 就可以发起攻击了 是不是这个理

0 回复 有任何疑惑可以回复我~
收起回答
Julisky 提问者
2015-08-07 
if (isset($_SESSION['token']) && $_POST['token'] == $_SESSION['token'])    
{    
  /* Valid Token */    
}
$token_age = time() - $_SESSION['token_time'];    
    if ($token_age <= 300)    
    {    
      /* Less than five minutes has passed. */    
    }


0 回复 有任何疑惑可以回复我~
收起回答
withy老师
2015-08-05

首先,你得能够伪造的出这些数据,能够伪造加密后的cookie是很难哒,如果伪造的出,那对于一些重要信息,可能就需要手机验证码之类的二次验证来避免了。

0 回复 有任何疑惑可以回复我~
收起回答

举报

0/150
提交
取消
Yii框架不得不说的故事—安全篇(3)
  • 参与学习       17591    人
  • 解答问题       32    个

本教程主要讲解Yii对4种流行攻击方式的防范和处理

进入课程

如果伪造token和相对应的加密cookie去提交表单,需要怎样处理呢?

我要回答 关注问题
意见反馈 帮助中心 APP下载
官方微信