Protégez du brute force votre application Symfony avec Maba Gentle Force
Protégez du brute force votre application Symfony avec Maba Gentle Force
La sécurité est l’affaire de tous, vous avez certainement déjà tous entendu cela au moins une fois.
Avec l’arrivée de la RGPD, les fuites de données sont de plus en plus médiatisées et si vous souhaitez éviter d’avoir à faire aux institutions comme la CNIL ou tout simplement si vous souhaitez un outil simple pour protéger contre le brute force votre application Symfony, je vous présente Maba Gentle Force.
Maba Gentle Force, késaco ?
C’est un bundle basé sur la librairie PHP Gentle Force.
Introduction de Gentle Force
La librairie utilise l’algorithme Token Bucket : L’utilisateur possède des jetons qu’il va pouvoir utiliser pour effectuer ses actions. À chaque tentative, un jeton sera consommé jusqu’à ce qu’il n’y en ait plus. Il va ensuite pouvoir regagner d’autres jetons au bout d’un certain temps (configurable) pour faire une nouvelle tentative. Cette librairie fonctionne avec Predis pour le stockage des jetons.
Voici une liste de fonctionnalités que propose Gentle Force :
- Vérification des jetons disponible pré-tentatives d’authentification pour empêcher la Race_condition.
- Possibilité de définir différentes limitations selon les créneaux temporels.
- Différents moyens sur lesquels baser sa vérification d’identité : ID, token d’api, adresse IP, etc…
Initialisation
composer require maba/gentle-force-bundle
Ajouter le bundle dans votre AppKernel si vous n’utilisez pas flex :
new \Maba\Bundle\GentleForceBundle\MabaGentleForceBundle(),
Importez ensuite les routes dans votre routing.yml.
gentle_force:
resource: '@MabaGentleForceBundle/Resources/config/routing.xml'
Vous trouverez dans l’arborescence App/config/packages/ un fichier de configuration maba_gentle_force.yml. Dans ce fichier vous allez tout d’abord devoir déclarer votre Predis :
maba_gentle_force:
redis:
service_id: votre service client redis
Utilisation
Cas simple
Dans le cas où dans votre application vous permettez à vos utilisateurs l’upload de documents, et afin d’éviter que ceux ci ne saturent vos espaces de stockage, vous pouvez par exemple ajouter cette portion dans votre fichier de configuration maba_gentle_force.yml.
limits:
documents_upload:
# Autorise uniquement 50 uploads par jour
- max_usages: 50
period: 1d
Pour les cas simples où vous n’avez pas le besoin de faire de vérification spécifique, vous devez y ajouter également la configuration du listener comprenant :
- la route concernée.
- la clé d’identifiant de la configuration.
- le type de donnée d’entrée servant à la vérification (ici l’IP).
- la stratégie de réponse (headers signifiant une réponse pré-configurée pour retourner un statut HTTP 429 Too Many Requests).
listeners: - path: ^/votre-route limits_key: documents_upload identifiers: [ip] strategy: headers
Si votre vérification porte sur une route peu critique, il est également possible de définir une strategy: log à la place, afin de ne pas bloquer vos utilisateurs tout en assurant une surveillance à travers les logs disponibles. Dans ce cas, il vous faudra également ajouter la configuration sur la stratégie de log :
strategies:
default: headers
log:
level: error
Cas avancé 1 : Réinitialisation de mot de passe
Limiter l’accès à une route est plutôt simple, nous allons voir maintenant comment limiter l’accès à une portion de votre application. L’exemple ici portera sur la fonctionnalité de récupération de mot de passe.
Première étape : configuration
Dans notre maba_gentle_force.yml vous allez devoir déclarer votre configuration :
limits:
reset_password:
# Autorise uniquement 3 erreurs par heure
# 3 tokens d'erreurs seront récupérés pendant 1 heure suivant la dernière erreur
- max_usages: 3
period: 1h
bucketed_usages: 3
# Autorise uniquement 20 erreurs par jour
- max_usages: 20
period: 1d
Contrairement au cas précédent, nous n’avons pas de listener de route à définir, nous allons directement utiliser le Throttler de l’outil.
Deuxième étape : utilisation
Du côté de notre code PHP, nous allons dans un premier temps récupérer le Throttler puis utiliser la méthode checkAndIncrease avant d’appeler notre service de récupération de mot de passe en passant en paramètre :
- l’identifiant de configuration :
reset_password - l’identifiant d’identité de l’utilisateur : l’adresse IP
if ($form->isSubmitted() && $form->isValid()) {
// Augmenter le compteur de tentatives avant de vérifier la légitimité de l'utilisateur
// Cela permet entre autres d'éviter la "race condition" provenant d'un grand nombre de requêtes
try {
$bucket = $this->get('maba_gentle_force.throttler')->checkAndIncrease('reset_password', $request->getClientIp());
} catch (RateLimitReachedException $exception) {
// Vous pouvez logger ici votre erreur puis retourner une réponse avec le code HTTP 429
}
// Tout va bien, vous pouvez exécuter votre code permettant de réinitialiser son mot de passe
// Vous pouvez ensuite réduire le compteur pour éviter de bloquer inutilement votre utilisateur
$bucket->decrease();
}
Cas avancé 2 : authentification
Certaines fonctionnalités sont plus soumises aux attaques que d’autres. Il est donc nécessaire d’augmenter d’un cran la sécurité de celles-ci. On parle par exemple de l’authentification de votre application.
Cette fois-ci nous allons nous baser sur plusieurs identifiants de vérification : l’email de l’utilisateur et son IP.
Première étape : configuration
La différence ici sera uniquement dans l’ajout d’une configuration par identifiant de vérification. La configuration est similaire à celle du cas précédent, on retrouve nos limitations par durée de créneau de temps :
limits:
authentication_email:
# Autorise uniquement 10 erreurs par heure
# 5 jetons d'erreurs supplémentaires seront récupérés pendant 1 heure
- max_usages: 10
period: 1h
bucketed_usages: 5
# Autorise uniquement 30 erreurs par jour
- max_usages: 30
period: 1d
authentication_ip:
# Autorise uniquement 120 erreurs par heure par IP
- max_usages: 60
period: 1h
Deuxième étape : utilisation
Si vous utilisez Guard de Symfony, dans votre implémentation de la méthode checkCredentials, vous allez pouvoir ajouter cette portion de code qui agit comme dans le cas précédent en vérifiant cette fois une par une les conditions ayant chacune leur propre configuration.
$identifier = $user->getEmail();
$rule = 'authentication_email';
$throttler = $this->get('maba_gentle_force.throttler');
try {
// Première vérification avec la configuration sur l'email
$bucket = $throller->checkAndIncrease($rule, $identifier);
// Deuxième vérification avec la configuration sur l'IP
if (isset($credentials['ip'])) {
$identifier = $credentials['ip'];
$rule = 'authentication_ip';
$credentialsResultIp = $throttler->checkAndIncrease($rule, $identifier);
}
} catch (RateLimitReachedException $exception) {
throw new RateLimitedBadCredentialsException($exception, $rule, $identifier);
}
// L'authentificaion s'est bien passée, vous pouvez décrémenter le seau de jetons
$bucket->decrease();
Bonus : google recaptcha
le bundle propose une configuration compatible avec l’utilisation de google recaptcha
Il vous faudra taper cette ligne de commande en plus :
composer require google/recaptcha
Puis dans votre fichier de configuration maba_gentle_force.yml vous pourrez y ajouter vos credentials :
maba_gentle_force:
recaptcha:
site_key: my_recaptcha_site_key # get this at google.com/recaptcha
secret: my_recaptcha_secret # this also
Vous pourrez enfin définir deux stratégies propres à recaptcha :
recaptcha_headersaura le même résultat que headers en renvoyant les credentials recaptcha en vue d’activer le widget (pour une API par exemple)recaptcha_templatepermettra d’envoyer une réponse sous forme de template HTML (nécessite l’installation de TWIG) contenant le widget
strategies:
recaptcha_headers:
site_key_header: your-site-key-header-to-enable-widget
unlock_url_header: your-url-to-unlock
recaptcha_template:
template: your-template-including-google-widget
Aperçu du fichier final
maba_gentle_force:
redis:
service_id: votre service client redis
limits:
authentication_email:
- max_usages: 10
period: 1h
bucketed_usages: 5
- max_usages: 30
period: 1d
authentication_ip:
- max_usages: 60
period: 1h
reset_password:
- max_usages: 3
period: 1h
bucketed_usages: 3
- max_usages: 20
period: 1d
documents_upload:
- max_usages: 50
period: 1d
listeners:
- path: ^/votre-route
limits_key: documents_upload
identifiers: [ip]
strategy: headers
strategies:
default: headers
log:
level: error
recaptcha_headers:
site_key_header: your-site-key-header-to-enable-widget
unlock_url_header: your-url-to-unlock
recaptcha_template:
template: your-template-including-google-widget
recaptcha:
site_key: votre-recaptcha-site-key
secret: votre-recaptcha-secret
Le mot de la fin
La sécurité est un domaine très vaste et cet outil n’en est qu’un parmi tant d’autres. PAr exemple, ce bundle ne protègera pas votre application contre de la vérification de combinaison mot de passe / email de manière unitaire comme utilisé récemment dans certaines attaques. Peu importe quels outils vous allez sélectionner dans votre environnement technique, il convient de rappeler l’importance de prendre en compte l’aspect de la sécurité dans chacun de vos développements.