浅谈PHP表单安全中Token的实际应用

背景

成都创新互联服务项目包括齐齐哈尔网站建设、齐齐哈尔网站制作、齐齐哈尔网页制作以及齐齐哈尔网络营销策划等。多年来，我们专注于互联网行业，利用自身积累的技术优势、行业经验、深度合作伙伴关系等，向广大中小型企业、政府机构等提供互联网行业的解决方案，齐齐哈尔网站推广取得了明显的社会效益与经济效益。目前，我们服务的客户以成都为中心已经辐射到齐齐哈尔省份的部分城市，未来相信会继续扩大服务区域并继续获得客户的支持与信任！

以前做等级保护的时候漏扫经常扫描出来一些网站有CSRF的漏洞，由于一般扫描器提示为中风险必须要解决经常和开发人员扯皮要怎么改怎么改，每次都描述的不清楚经常感觉心累。

最近看到OWASP的一本《安全测试指南第四版》的书就随手翻了二页其中谈到了关于会话管理测试的一栏目比较感兴趣就从网上随便下载了一个开源的CMS做一下黑盒测试，练练手万一失业了还能转化写写代码做做测试，过程中发现CMS对于很多表单请求都采用了Token认证做的挺好的于是写个笔记方便日后来看。

抓包分析

架起代理burpsuit开启准备大干一场，首先找到了一个表单的提交页面，表单主要采用Post方法进行提交，随便填了点数据就提交了。

通过burpsuit拦截下来之后看一下各个参数

通过Post提交到一个Task的action，看这么多参数万一有过滤不严格的情况方法说不定能出现一些XSS或者sql注入的漏洞于是就稍微看了一下就发送到了scanner。

Proxy放过之后页面却出现了异常提示Token验证不通过。

然后认真一看发现除了一些表单提交的参数外还有一个token=20e168c64ce1f1f98f89e4c8ff9e3aba的字段。表单提交之后response数据包当中也有一个新的token”:”e40fe4b3afedc40f95903fef92eb79ed，这样导致这一个请求包只能请求一次，Burpsuit Scanner基于原有请求包的参数测试的扫描模式就基本上没有什么用了。

Token普遍有二个作用：

• 防止表单重复提交
• anti csrf攻击(跨站点请求伪造)

由于token具有较好的随机性，不容易被猜测出来具有良好的安全性，于是看一下源码当中的实现。

源码分析

通过请求的路径找到对应的php文件，当请求这个表单的时候会自动执行$label->token()这么一个方法

查看label.php的源码，token这个方法构造hidden表单定义了一个token的变量后赋值Core\Func\CoreFunc::$token

继续再查看CoreFunc的源码，包含了对token生成的过程

调用microtime生成毫秒数之后打散成数组增加随机性，通过substr提取数字与随机数相乘之后计算md5保证了token的不可预测性。

Token的随机性取决于当前时间、rand随机、md5散列算法

将生成的token存如session服务器会话当中

提交的表单主要由task.php处理task类当中只是读取了session中userid的字段，使用父类Content的 parent::action($jump, $commit)方法进行验证通过之后再处理表单数据。

一层又一层，感觉真复杂。Content类继承了Controller中的checkToken()检查

Token无论验证是否通过都会删除当前token的值保证了不会被重用

总结

session应用相对安全但也繁琐，同时当多页面多请求时必须采用多Token同时生成的方法，这样占用更多资源，执行效率会降低。但是对安全性的提升是明显的，对于表单的重复提交、基于单个数据包的变形扫描、解决CSRF漏洞也不是一种不错的方式。

文章名称：浅谈PHP表单安全中Token的实际应用
当前路径：http://www.stwzsj.com/qtweb/news4/4304.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联