PHP/ajaxcall - 乱用や直接アクセスを防ぐためのアプローチ

Question

私の場合はjqueryを使ってajaxを呼び出す際の問題は、ターゲットがサイドのソースで見えるということです。私は、虐待を防ぐための解決策を探して、私の謙虚なアプローチについてどう思っているのか尋ねたいと思います。

• あなたはそれが任意の通常のHTMLレンダリングのようにアクセスする必要があるため、ユーザーへの直接アクセスを許可する必要がありますAJAXコール（私は間違っているなら、私を修正）について知っておく

  。

• セッションを使用できます。ユーザーがファイルではなく、私のスクリプトにアクセスしているので、

• IPトラッキングは、私が最初にajaxscriptにアクセスするスクリプトを作成した。このうち

（これは他の固定的なアプローチのために保持します）を使用することができ、時間を取得し、既知の塩とパスワードで同じ時刻をハッシュまたは暗号化し、これらの2つの値をユーザーに配信します。成功関数では、私はこの2つの値を取って、次のajaxcallでメインスクリプトにアクセスします。そこで私は、これらの値をチェックします。

1. は時間であり、同じ

2. 暗号化された時間はx秒以上2つのアヤックスが

を呼び出した後に実行されませんでした私も、簡単に含ま追加のセキュリティのために$ _SERVER ['HTTP_X_REQUESTED_WITH'を偽造するために、これは簡単になりすまして偽造することができます。 GETで2つの値を渡すのではなく、Sessionを使ってそれらを転送することができます:)。

index.htmlを

<script> 
$(document).ready(function() { 
$("#ajaxloadlink").click(function(){ 
$("#ajaxcontent").load("ajax.php",function(responseText, textStatus, XMLHttpRequest){ 
    // alert(responseText); 
    var pruf = responseText; // $("#ajaxcontent").html(); 
    var arr = pruf.split('|'); 
    var geturl = "ajax.php?verifyvar="+ arr[1] +"&timedone="+ arr[0]; 
    $("#ajaxcontent").load(geturl); 

     }); 
    }); 
}); 
</script> 
<button id="ajaxloadlink">Lade ajax.php mit load()</button> 

processfileのajax.php：私はあなたが私のアプローチの考えを聞いて、あなたがあれば、コードを修正することは名誉になり

<?php 
// the function to use for encryption 
define('SALT', 'whateveryouwant'); 
function encrypt($text) 
    { 
     return trim(base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256, SALT, $text, MCRYPT_MODE_ECB, mcrypt_create_iv(mcrypt_get_iv_size(MCRYPT_RIJNDAEL_256, MCRYPT_MODE_ECB), MCRYPT_RAND)))); 
    } 

function decrypt($text) 
    { 
     return trim(mcrypt_decrypt(MCRYPT_RIJNDAEL_256, SALT, base64_decode($text), MCRYPT_MODE_ECB, mcrypt_create_iv(mcrypt_get_iv_size(MCRYPT_RIJNDAEL_256, MCRYPT_MODE_ECB), MCRYPT_RAND))); 
    } 


if(isset($_SERVER['HTTP_X_REQUESTED_WITH']) && ($_SERVER['HTTP_X_REQUESTED_WITH'] == 'XMLHttpRequest')) 
{ 
    //only internal scripts can be used, fakeable 

     if(empty($_GET)) 
     { 
      $time = time(); 
      $verifvar_created = encrypt($time); 
      echo $time."|".$verifvar_created; 
     } 
     else 
     { 
     //zweiter Durchlauf 
     $verifvar = $_GET['verifyvar']; 
     $timedone = $_GET['timedone']; 

      //VERIFY 
      $curtime = time(); //holds also timemax 
      $timemin = $curtime - 2; 

      if($timedone <= $curtime && $timedone >= $timemin) 
      { 
       echo "COOOL"; 
       //now its an actual request 
       $verifvar_checked = decrypt($timedone); 
       if ($verifvar == $verifvar_checked) 
       { 
        echo "VERIFIED"; 
        // now process the actual script 
        // :) 
       } 
      } 
     } 
} else 
    { 
     echo "no direct access allowed"; 
    } 
?> 

それがあると思う。私にとってはうまくいく、私はajaxの呼び出しの間に2秒を許可した（これは2単語なのでレンダリングが簡単だ）。

通常、アクセス可能なすべてのコンテンツには、通常のユーザーのようにindex.htmlを通過することで正しいヘッダーのcurlを使用してアクセスできます。ほとんどの環境（phpのような）では、このスクリプトで必要とされるボタンを "クリック"することができないので、カールは簡単にajaxコールを呼び出せないからです。ワイア、セレンのような他の環境でも簡単にそれを偽造することができます。

それでは、セキュリティの追加層ですか？ 私を助けてくださったご意見ありがとうございます。私の間違いを訂正してくれてありがとう。

SOF 2012ですばらしい一日を！

Answer 1

さらに難読化するために、それぞれが応答の一部のみを返す2つ（またはそれ以上）の異なるサーバースクリプトを、インデックスページからのみ利用可能な共有キーで暗号化することができます。したがって、javascriptコードは2つの異なるajax呼び出しを行い、応答をまとめてクライアント側で解読し、使用可能にするだけです。

しかし、これはセレンの防衛に役立つものではありません。ユーザーが通常行うことは何でもできます。

Answer 2

Ajaxコールは通常のPOST/GETリクエストよりも技術的に異なり、ターゲットは常にユーザー/ブラウザから見えるようにする必要があります。アプリケーションを「不明瞭なセキュリティ」で保護することはできません。

リクエストレートを制限する場合は、ウェブサーバーまたはファイアウォールレベルのでリクエストレートを制限する必要があります。 phpを使用したい場合は、セッションを使用してユーザーを識別し、要求レートを制限することができます。

<?php 
    session_start(); 

    if(!isset($_SESSION['time']) 
    || $_SESSION['time'] < (time() - 60 * 5) 
){ 
    $_SESSION['time' ] = time(); 
    $_SESSION['count'] = 0 ; 
    } 
    $_SESSION['count']++ ; 

    if( $_SESSION['count'] > 10){ 
    die("Stop ! You can't make more than 10 requests in 5 Minutes"); 
    } 

富栄セッションはクッキーを使用するので、それはHTTPフラッドに対するあなたのアプリケーションを守るために無用です。