Безпека
Запобігання міжсайтового скриптинга
Міжсайтовий скриптинг (також відомий як XSS) — зловмисний збір інформації користувача,через сторінки веб-додатку. Частіше за все, виконуючий атаку, використовує вразливості додатку, включає в текст сторінки JavaScript, VBScript, ActiveX, HTML або Flash. Робиться це для отримання інформації інших користувачів додатку та подальшого використання її в не хороших цілях. Для прикладу, погано написаний форум може відображати повідомлення без якої-небудь перевірки. Атакуючий може вставити JavaScript-код у повідомлення. Всі, хто прочитають це повідомлення, виконають код на своєму компютері.
Щоб не допустити XSS-атаки потрібно завжди перевіряти те, що ввів користувач, перед тим як це відображати. Звичайно, щоб не допустити вводу скриптів, можна кодувати всі HTML-сутності. В деяких ситуаціях, така поведінка не бажана, так як ввід HTML стає недоступним.
Yii включає в себе бібліотеку HTMLPurifier і надає розробнику корисний інструмент CHtmlPurifier, котрий може фільтрувати весь шкідливий код за допомогою ретельно перевіреного білого листа. Також компонент робить код сумісний із стандартами.
CHtmlPurifier може бути використаний і як віджет, і як фільтр. При використанні в якості віджета CHtmlPurifier обробляє вкладений в нього вміст:
Запобігання підробці міжсайтових запитів
Підробка міжсайтового запиту (CSRF) — атака, при якій сайт атакуючого змушує браузер користувача виконати яку-небудь дію на іншому сайті. Для прикладу, на сайті атакуючого є сторінка, яка містить тег img з атрибутом src, який вказує на сайт банку http://bank.example/переказ?сума=10000&кому=кулхацкеру. Якщо в браузері користувача встановлені cookies, які дозволяються запамʼятати його на сайті, відвідування цієї сторінки викличе переказ 10000 тугриків нехорошому кулхацкеру. В CSRF на відміну від міжсайтового скриптингу, основаному на довірі користувача до сайту, використовується довіра сайту, до деякого користувача.
Для того щоб не допустити CSRF, слід дотримуватися простого правила. GET — тільки для отримання даних. Нічого змінювати при GET запитах не можна. Для POST необхідно використовувати випадкове значення, яке можна перевірити на сервері і переконатися, що запит іде звідти, звідки потрібно.
В Yii реалізований захист від CSRF-атаки, яка відбувається через POST. Захист грунтується на зберіганні випадкового значення в cookie і порівняння його із значенням POST.
За замовчуванням, захист від CSRF відключений. Для його включення потрібно налаштувати компонент CHttpRequest у файлі конфігурації:
Для відображення форми потрібно використовувати CHtml::form замість написання HTML-тега. Даний метод дозволяє автоматично включити випадкове значення, яке використовується для перевірки на CSRF, як приховане поле форми.
Запобігання атаки через cookie
Захист cookie дуже важлива, так як в них найчастіше зберігається ID сесії. Якщо зловмисник отримає ID сесії він отримає і всю інформацію, котра зберігається в ній.
Є декілька способів запобігти атаці через cookie:
Використовувати SSL для створення захисного зʼєднання і передавати cookie тільки через нього. Атакуючий не зможе розшифрувати вміст cookie, які передаються;
Вчасно оголошувати сесію застарілою, включаючи всі cookie і маркери сесії, для того, щоб зменшити вірогідність можливої атаки;
Запобігти XSS, тим самим унеможливити захоплення cookie;
Перевіряти данні з cookie і перевіряти чи змінені вони.
В Yii реалізована перевірки на зміни, через підрахунок хешу HMAC від значення cookie.
За замовчуванням перевірка cookie відключена. Для її включення необхідно у конфігурації додатку, налаштувати компонент CHttpRequest наступним чином.
При використанні перевірки cookie, звертатися до них необхідно через колекцію cookies, а не напряму через $_COOKIES: