मैं एक वेब फार्म है और मैं PHP का उपयोग कर रहा हूँ। मुझे पता है कि रूपों का उपयोग किया जा सकता है (मुझे विश्वास है कि इसे रीप्ले हमले या मैन-इन-द-बीच हमले कहा जाता है)। तो मैं एक छिपे हुए क्षेत्र के रूप में कुछ प्रामाणिकता टोकन का उपयोग करना चाहता हूं।कैसे को रोकने के लिए प्रपत्र पुनरावृत्ति/मैन-इन-द-मिडल पीएचपी, CSRF में हमला, XSRF
खतरा संभावनाओं है कि मैं के बारे में पता कर रहा हूँ कर रहे हैं:
- हमलावर वैध उपयोगकर्ता के रूप hijacks
- वैध उपयोगकर्ता खुद को है (यह मेरा मानना है कि मैन-इन-द-मिडल हमला है) हमलावर: वह, प्रपत्र हो जाता है टोकन पढ़ता है लेकिन खतरनाक डेटा भेजने के लिए इसे इस्तेमाल करता है
इससे पहले कि मैं सवाल पर आते हैं, तो कृपया मुझे सही कर अगर कुछ भी मैं अब तक है कहा (यह मेरा मानना है कि पुनरावृत्ति हमला है) गलत, क्योंकि शायद मेरी समझ त्रुटिपूर्ण है।
अब सवाल:
- क्या सबसे अच्छा अभ्यास इस टोकन उत्पन्न करने के लिए इतना है कि यह बिना प्रपत्र को अस्वीकार कर दिया जाता है (उदाहरण के लिए, नमक मिलाना?)।
- यह सुनिश्चित करने के लिए लोग क्या करते हैं कि टोकन को फिर से नहीं चलाया जा रहा है। टिप्पणी के आधार पर
नए छोटे सवाल:
- सत्र अपहरण मैन-इन-मध्यम हमले के रूप में ही है?
किसी कारण से मैं सोच रहा हूं कि आप इस प्रक्रिया को अधिक जटिल बना रहे हैं। डेटा सत्यापन पर्याप्त क्यों नहीं होगा? क्या आप अपहृत फॉर्म डेटा से चिंतित हैं कि कोई सबमिट करेगा? और यह बदल गया है? या लॉगिन प्रकार के रूप? (जिसे मैन-इन-द-मिडल-हमले को खत्म करने के लिए एसएसएल पर किया जा सकता है)। – Jakub
शायद मैं इसे अधिक जटिल कर रहा हूं, मुझे नहीं पता। जब मैं इसके बारे में पढ़ रहा था तो यह बहुत जटिल और जटिल था। लेकिन प्रश्न 1 अभी भी मान्य है क्योंकि मुझे नहीं पता कि टोकन उत्पन्न करने का सबसे अच्छा अभ्यास क्या है :) प्रश्न 2 (टोकन को फिर से चलाने के बारे में सवाल) वैध है या नहीं, कि मैं भी समझने की उम्मीद कर रहा हूं। – Chris
आप निश्चित रूप से गलत कथन का उपयोग कर रहे हैं। ऐसा लगता है कि आप ज्यादातर डेटा सत्यापन के बारे में बात कर रहे हैं। –