1

我一直在阅读这篇博客文章和这篇堆栈溢出文章,但我对散列表单字段没有太多经验(蜜罐部分,网上似乎有很多例子)所以我有几个问题。

问题 1

是这样的还是我离基地很远?(注意,这是一个简化的示例,为简洁起见仅包含时间戳)

表单上的 PHP:

$time = mktime(); 
$first_name = md5($time + 'first_name');

表单上的 HTML:

<form action="register.php" method="post">
<input type="text" name="<?php echo $first_name ?>" >
<input type="hidden" name="check" value="<?php echo $time ?>" >
<input type="submit" name="register">
</form>

注册.php

// check to see if there is a timestamp
if (isset($_POST['check'])) {
    $time = strtotime($_POST['check']);

    if (time() < $time) {
    // original timestamp is in the future, this is wrong
    }

    if (time() - $time < 60) {
    // form was filled out too fast, less than 1 minute?
    }

    // otherwise
    $key = $_POST['check'];

    if (md5($key + 'first_name') == $_POST['whatever-the-hash-on-the-first_name-field-was']) {
        // process first_name field?
    }
}

问题2:

字段名称的散列如何使事情更安全?我得到了时间戳检查(虽然我不理解博客文章中“过去太远”的部分......如果有的话,机器人不会太快填写它吗??)但我不确定什么是散列name 属性确实如此。

4

1 回答 1

6

在将字段名称发送到客户端之前,您需要对服务器端进行哈希处理:

<form action="register.php" method="post">
<? $timestamp = time() ?>
<!-- This is where the user would put the email. Don't put this comment in for real -->
<input type="text" name="<?php echo md5("email" . $timestamp . $secretKey) ?>" >
<input type="hidden" name="check" value="<?php echo $timestamp ?>" >
<input type="submit" name="register">
</form>

这将随机化字段的名称。在您的服务器上发布数据时,您需要重新散列字段名称以找到正确的发布变量:

<?
    if (isset($_POST['check'])) {
        $email = $_POST[md5("email" . $_POST['check'] . $secretKey)];
    }
?>

该博客的作者说这是一种防止重放攻击的方法。我认为这个想法有一些优点,下面是它的工作原理:

  1. 攻击者会访问您的站点,并手动填写表单,记录您的所有字段名称。
  2. 然后,他会将这些记录的字段名称输入到他的机器人中,并对机器人进行编程,以便稍后重新填写您的表格。
  3. 攻击者可能会将此记录在“电子邮件字段”<input type="text" name="0c83f57c786a0b4a39efab23731c7ebc" />和隐藏的检查字段中<input type="hidden" name="2012/05/11 12:00:00" />
  4. 然后,该机器人将发布具有不同数据的相同字段。
  5. This is where your "too far in the past" check would be triggered. The bot would be posting a timestamped form with an old date and you would reject it.

I hope this helps you understand what the blog author was getting at.

于 2012-05-11T13:14:19.173 回答