Ochrana proti SSRF

Když vaše aplikace stahuje URL zadanou uživatelem, může toho útočník zneužít a dostat se do vaší interní sítě. Třídy UrlValidator a IPAddress vám pomohou bránit se těmto útokům Server-Side Request Forgery (SSRF).

→ Instalace a požadavky

Co je SSRF?

Představte si funkci, kde uživatel zadá URL a váš server ji stáhne – avatar ze vzdálené adresy, cíl webhooku, náhled odkazu. Vypadá to neškodně, ale na adresu se připojuje server, ne prohlížeč uživatele. A server vidí místa, kam útočník nedosáhne: loopback rozhraní, privátní síť, cloudové služby.

Útočník proto pošle URL, která místo na veřejný internet míří dovnitř. Typickými cíli jsou:

• cloudová metadata na http://169.254.169.254/, která mohou prozradit přístupové klíče
• interní administrace a routery jako http://192.168.1.1/
• služby bez autentizace, například Redis na http://localhost:6379/

Tato třída zranitelností je tak rozšířená, že patří mezi OWASP Top 10. Obranou je ověřit URL dříve, než ji stáhnete, a odmítnout vše, co se přeloží na neveřejnou adresu.

UrlValidator

Nette\Http\UrlValidator ověřuje URL proti konfigurovatelné politice: schéma, port, host, userinfo a IP adresy, na které se host přeloží. Základní použití je jediné volání:

use Nette\Http\UrlValidator;

if (!(new UrlValidator)->allows($userUrl)) {
	return; // nebezpečná URL, nestahujte ji
}

Výchozí politika je záměrně přísná – akceptuje pouze https na portu 443 mířící na veřejnou IP adresu. Vše ostatní (loopback, privátní rozsahy, link-local včetně cloudových metadat, rezervované rozsahy) je odmítnuto a multicast je odmítnut bezpodmínečně. To je správný výchozí bod pro stahování libovolných URL zadaných uživatelem.

Konfigurace politiky

Politiku tvarujete přes konstruktor. Například chcete-li povolit prosté http na libovolném portu a dosáhnout na privátní adresy (užitečné uvnitř důvěryhodné sítě):

$validator = new UrlValidator(
	schemes: ['http', 'https'],
	ports: null, // libovolný port
	allowPrivateIps: true,
);

Častým vzorem je omezit stahování na pevnou sadu partnerských domén pomocí allowlistu hostů. Prefix *. odpovídá libovolné hloubce subdomény, ale ne samotné doméně – pokud ji potřebujete, uveďte oba tvary:

$validator = new UrlValidator(
	hostAllowlist: ['example.com', '*.example.com'],
);

Kompletní sada možností konstruktoru:

Metody validace

Validátor nabízí tři metody. allows() provede plnou kontrolu včetně překladu DNS – host se přeloží a každá A/AAAA adresa musí projít IP politikou:

(new UrlValidator)->allows($url); // bool

allowsWithoutDns() přeskakuje překlad DNS a kontroly IP rozsahů. Použijte ji jako rychlý předfiltr, nebo když je validace DNS delegována na stahovací vrstvu:

(new UrlValidator)->allowsWithoutDns($url); // bool

Obě metody přijímají řetězec, objekt UrlImmutable nebo null (které vždy selže).

Obrana proti DNS rebindingu

Mezi validací a stažením je záludný souboj: útočník může při ověřování hostu vrátit bezpečnou IP a poté pro samotné stažení přepnout DNS na interní IP. K uzavření této díry vrací getResolvedIPs() ověřené IP adresy a vy na ně připnete spojení, aby stahování nešlo přesměrovat jinam:

$ips = (new UrlValidator)->getResolvedIPs($url);
if (!$ips) {
	return; // nebezpečná URL
}

$ch = curl_init($url);
$host = parse_url($url, PHP_URL_HOST);
curl_setopt($ch, CURLOPT_RESOLVE, ["$host:443:" . implode(',', $ips)]);
// ... proveďte požadavek

Metoda vrací pole IP řetězců (nejprve A záznamy, poté AAAA), které prošly celou politikou, nebo prázdné pole při jakémkoli selhání. Pro IP literál v URL ověří adresu přímo a žádný překlad DNS neprovádí.

IPAddress

Nette\Http\IPAddress je neměnný hodnotový objekt pro práci s IPv4 a IPv6 adresami. UrlValidator jej využívá interně, ale hodí se i samostatně, kdykoli adresy klasifikujete. Konstruktor vyhodí Nette\InvalidArgumentException u neplatné adresy:

use Nette\Http\IPAddress;

$ip = new IPAddress('169.254.169.254');
echo $ip; // '169.254.169.254'

Když nechcete výjimku, použijte tovární metodu tryFrom() nebo kontrolu isValid():

$ip = IPAddress::tryFrom($input); // ?IPAddress
IPAddress::isValid($input);       // bool

Klasifikace adres

Predikáty říkají, do jaké třídy adresa patří. Klíčový je isPublic() – pravdivý jen pro veřejně směrovatelné adresy, což je přesně to, co obrana proti SSRF potřebuje:

$ip = new IPAddress('169.254.169.254');
$ip->isPublic();    // false
$ip->isLinkLocal(); // true (rozsah cloudových metadat)

Kompletní sada predikátů:

Příslušnost k rozsahu

isInRange() testuje, zda adresa spadá do CIDR bloku. Můžete předat síť s prefixem, nebo holou adresu pro přesnou shodu (implicitní /32 pro IPv4, /128 pro IPv6):

$ip = new IPAddress('192.168.1.50');
$ip->isInRange('192.168.0.0/16'); // true
$ip->isInRange('10.0.0.1');       // false (přesná shoda)

Chybný vstup nebo jiná rodina IP vrací false.

IPv4-mapped IPv6

Adresy zapsané jako IPv4-mapped IPv6 (například ::ffff:127.0.0.1) jsou klasickým způsobem, jak proklouznout naivními filtry. IPAddress je normalizuje, takže predikáty rozsahů prohlédnou přestrojení:

$ip = new IPAddress('::ffff:127.0.0.1');
$ip->isLoopback();   // true
$ip->isIPv4Mapped(); // true
$ip->toIPv4();       // IPAddress('127.0.0.1')

Metody isIPv4() a isIPv6() hlásí textový tvar: mapovaná adresa je IPv6, nikoli IPv4.