การลบชื่อผู้ใช้ออกจากคุกกี้ 'wordpress_logged_in'


9

ฉันทำงานกับลูกค้าที่มีมาตรการรักษาความปลอดภัยที่เข้มงวด หลังจากผ่านการตรวจสอบความปลอดภัยเราได้รับแจ้งว่าชื่อผู้ใช้ที่เก็บไว้ในคุกกี้ที่เข้าสู่ระบบเช่น

wordpress_logged_in[username]|[hash]

เป็นสิ่งที่ต้องถูกลบออก เนื่องจากนี่เป็นส่วนสำคัญของระบบการเข้าสู่ระบบฉันไม่แน่ใจว่าจะลบออกและยังคงรักษาเซสชั่น

คำตอบ:


10

แนะนำสั้น ๆ

หลังจากดูอย่างรวดเร็วภายในซอร์สโค้ด WP ฉันคิดว่าฉันพบวิธีแก้ปัญหา ...

WordPress ใช้สองฟังก์ชั่นในการตั้งค่าและวิเคราะห์คุกกี้:

  • wp_generate_auth_cookie
  • wp_parse_auth_cookie

มีตัวกรองที่wp_generate_auth_cookieเรียกว่าauth_cookieซึ่งคุณอาจใช้เพื่อเปลี่ยนเนื้อหาของคุกกี้ได้ แต่ไม่มีตัวกรองอยู่ภายในwp_parse_auth_cookieแต่ ...

ทั้งสองฟังก์ชั่นเหล่านี้มีการกำหนดใน pluggable.php ซึ่งหมายความว่าคุณสามารถเขียนการใช้งานของคุณเองสำหรับพวกเขาและเขียนทับคนเริ่มต้น

สารละลาย

  1. เขียนปลั๊กอินของคุณเอง (เรียกว่า Better Auth Cookie)
  2. ใช้งานฟังก์ชั่นของคุณเองwp_generate_auth_cookieและwp_parse_auth_cookieภายในปลั๊กอินนี้
  3. เปิดใช้งานปลั๊กอินของคุณ

คุณสามารถค้นหาการใช้งานตัวอย่างของฉัน (ขึ้นอยู่กับเวอร์ชันดั้งเดิม) ของฟังก์ชันเหล่านี้ด้านล่าง:

if ( !function_exists('wp_generate_auth_cookie') ) :
/**
 * Generate authentication cookie contents.
 *
 * @since 2.5.0
 *
 * @param int $user_id User ID
 * @param int $expiration Cookie expiration in seconds
 * @param string $scheme Optional. The cookie scheme to use: auth, secure_auth, or logged_in
 * @param string $token User's session token to use for this cookie
 * @return string Authentication cookie contents. Empty string if user does not exist.
 */
function wp_generate_auth_cookie( $user_id, $expiration, $scheme = 'auth', $token = '' ) {
    $user = get_userdata($user_id);
    if ( ! $user ) {
        return '';
    }

    if ( ! $token ) {
        $manager = WP_Session_Tokens::get_instance( $user_id );
        $token = $manager->create( $expiration );
    }

    $pass_frag = substr($user->user_pass, 8, 4);

    $key = wp_hash( $user->user_login . '|' . $pass_frag . '|' . $expiration . '|' . $token, $scheme );

    // If ext/hash is not present, compat.php's hash_hmac() does not support sha256.
    $algo = function_exists( 'hash' ) ? 'sha256' : 'sha1';
    $hash = hash_hmac( $algo, $user->user_login . '|' . $expiration . '|' . $token, $key );

    $cookie = $user_id . '|' . $expiration . '|' . $token . '|' . $hash;

    /**
     * Filter the authentication cookie.
     *
     * @since 2.5.0
     *
     * @param string $cookie     Authentication cookie.
     * @param int    $user_id    User ID.
     * @param int    $expiration Authentication cookie expiration in seconds.
     * @param string $scheme     Cookie scheme used. Accepts 'auth', 'secure_auth', or 'logged_in'.
     * @param string $token      User's session token used.
     */
    return apply_filters( 'auth_cookie', $cookie, $user_id, $expiration, $scheme, $token );
}
endif;


if ( !function_exists('wp_parse_auth_cookie') ) :
/**
 * Parse a cookie into its components
 *
 * @since 2.7.0
 *
 * @param string $cookie
 * @param string $scheme Optional. The cookie scheme to use: auth, secure_auth, or logged_in
 * @return array Authentication cookie components
 */
function wp_parse_auth_cookie($cookie = '', $scheme = '') {
    if ( empty($cookie) ) {
        switch ($scheme){
            case 'auth':
                $cookie_name = AUTH_COOKIE;
                break;
            case 'secure_auth':
                $cookie_name = SECURE_AUTH_COOKIE;
                break;
            case "logged_in":
                $cookie_name = LOGGED_IN_COOKIE;
                break;
            default:
                if ( is_ssl() ) {
                    $cookie_name = SECURE_AUTH_COOKIE;
                    $scheme = 'secure_auth';
                } else {
                    $cookie_name = AUTH_COOKIE;
                    $scheme = 'auth';
                }
        }

        if ( empty($_COOKIE[$cookie_name]) )
            return false;
        $cookie = $_COOKIE[$cookie_name];
    }

    $cookie_elements = explode('|', $cookie);
    if ( count( $cookie_elements ) !== 4 ) {
        return false;
    }

    list( $user_id, $expiration, $token, $hmac ) = $cookie_elements;

    $user = get_userdata($user_id);
    $username = ( ! $user ) ? '' : $user->user_login;

    return compact( 'username', 'expiration', 'token', 'hmac', 'scheme' );
}
endif;

รุ่นของฉันฟังก์ชั่นเหล่านี้จะแทนที่ด้วยuser_login user_idแต่มันควรเป็นการเริ่มต้นที่ดีสำหรับการเปลี่ยนเป็นอะไรที่ซับซ้อนยิ่งขึ้น (เช่นแฮชเฉพาะผู้ใช้หรืออะไรทำนองนี้)


คำตอบที่ดี แม้ว่าฉันจะรอจนกว่าจะถึงวันสุดท้ายของช่วงเวลาความโปรดปรานของฉัน :)
ตุ่นปากเป็ดไม่ระบุชื่อ

ฉันจะยอมรับสิ่งนี้แม้ว่าฉันจะไม่ได้ทำการทดสอบเพราะฉันไม่ต้องการโซลูชันนี้อีกต่อไป คุณใช้ความพยายามอย่างมากในการขุดลงไปที่รากของระบบฉันซาบซึ้งในความพยายาม :)
phatskat

1
ในขณะที่วิธีการนี้เป็นวิธีที่ดีคุณควรระวังว่าจะไม่มีการป้องกันอีกต่อไป ชื่อผู้ใช้แทนสำหรับ ID ผู้ใช้ แต่ชื่อผู้ใช้สามารถ gotten จาก ID ผู้ใช้ผ่านการร้องขอเพื่อexample.com?author=123ที่จะดำเนินการเปลี่ยนเส้นทางไปยัง URL example.com/author/johnที่ยอมรับเช่น
John Blackbourn

1
@ จอห์นอ่านอย่างระมัดระวังโปรด ฉันได้กล่าวไปแล้วว่าคุณสามารถทำให้การเก็บแฮ็กแบบสุ่มในคุกกี้ปลอดภัยกว่าการใช้ userID
Krzysiek Dróżdż
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.