Chuyển đến nội dung chính

WordPress Nonce là gì? Cách để ngăn chặn một cuộc tấn công CSRF

WordPress Nonce la gi Cach de ngan chan mot cuoc - WordPress Nonce là gì? Cách để ngăn chặn một cuộc tấn công CSRF

Source: WordPress Nonce là gì? Cách để ngăn chặn một cuộc tấn công CSRF

CSRF Attack là gì?

Cuộc tấn công CSRF (Yêu cầu chéo trang web giả mạo) là một kỹ thuật tấn công có khả năng mạo danh người dùng để thực hiện các hoạt động không mong muốn trên các trang web hoặc ứng dụng.

Một cuộc tấn công CSRF có khả năng gây ra hậu quả nghiêm trọng cho người dùng hoặc doanh nghiệp, chẳng hạn như thay đổi mật khẩu, đánh cắp dữ liệu, phá hoại, v.v.

Dem so luot xem bai viet WordPress - WordPress Nonce là gì? Cách để ngăn chặn một cuộc tấn công CSRF

Để ngăn chặn tình huống tấn công CSRF, WordPress có một cơ chế để chống lại sự cố này bằng cách sử dụng Nonce.

Vậy, WordPress Nonce là gì?

WordPress Nonce hoặc Nonce là một chuỗi ký tự ngẫu nhiên được đính kèm với một URL hoặc biểu mẫu để xác minh rằng hành động được thực hiện bởi người dùng đó.

Chuỗi này được sử dụng một lần và khác nhau đối với mỗi người dùng. Điều đó có nghĩa là nó không thể bị làm giả. Nếu nonce không hợp lệ, WordPress sẽ từ chối yêu cầu.

Sơ đồ hoạt động của nonce

Sơ đồ cho thấy nonce hoạt động như thế nào

Làm thế nào để triển khai WordPress Nonce?

Có 3 cách để tạo WordPress Nonce:

  • wp_create_nonce() – Tạo một nonce đơn giản, sử dụng bất cứ thứ gì bạn muốn.
  • wp_nonce_url() – Thêm một tham số _wpnonce đến đường dẫn URL.
  • wp_nonce_field() – Tạo một trường nhập ẩn chứa nonce.

Ví dụ:

<?php
$new_nonce = wp_create_nonce( 'add_product' );
// zxcvbn678

$url="https://hocwordpress.vn/";
$nonce_url = wp_nonce_url( $url, 'delete_product' );
// https://hocwordpress.vn/_wpnonce=zxcvbn678

wp_nonce_field( 'change_password' );
// <input id="_wpnonce" name="_wpnonce" type="hidden" value="zxcvbn678" />

Để xác minh nonce, chúng tôi sử dụng hàm wp_verify_nonce()

Ví dụ dưới đây xử lý biểu mẫu gửi – gửi biểu mẫu.

<?php
$nonce = $_POST['_wpnonce'];

if( wp_verify_nonce( $nonce, 'change_password' ) ) {
  // Thành công, tiến hành thay đổi password
  // ...
} else {
  return false; // Huỷ bỏ
}

bản tóm tắt

CSRF là lỗ hổng phổ biến nhất được tìm thấy trong các plugin và chủ đề WordPress. Qua bài viết này, hy vọng mình đã giúp bạn ngăn chặn một cuộc tấn công CSRF trong tương lai.

Nếu thấy hay các bạn có thể theo dõi chuyên mục thủ thuật wordpress để biết thêm nhiều kiến ​​thức mới nhé.

Theo dõi fanpage để nhận những bài viết mới nhất: Hocwordpress Group

Chúc các bạn có những kiến ​​thức bổ ích và thú vị về wordpress!

Via: sieucoder.com



from sieucoder.com https://ift.tt/3DSdkNT
via Sieucoder.com

Nhận xét

Đăng nhận xét