momosecurity / rhizobia_p Goto Github PK

DefenseAgainstSSRF存在2点问题：

1. getURLInfo可以进行blind ssrf。 getRealIP的逻辑有点奇怪，先进行getURLInfo再根据host解析ip来判断。正常情况应该是先解析ip判断是不是内网，再通过ip（CURLOPT_RESOLVE、CURLOPT_DNS_LOCAL_IP4）进行访问
2. 处理业务逻辑的代码，可以通过dns rebinding绕过校验进行ssrf。 建议通过sdk封装方法供业务调用，使用第1步校验的ip来处理业务

^_^ 占个坑，等有空了提pr

src/SecurityUtil.php 类中，如果要做单例是需要把 getinstance 方法的可见性设置为 protected 或者 private，如果不是单例，允许去new实例化，那是否应该在 __construct 方法中保证有和 getinstance 方法相同的逻辑

项目原demo，这样设置白名单的结果是允许跳转到protect.domain的所有子域。

$white=[".protect.domain"];
if(!$this->securityUtil->verifyRedirectUrl($url,$white)){
    return ;   //非法url
}
// 处理业务逻辑

问题：

1. 有些情况下需要跳转地址只允许是当前域名protect.domain，不允许跳转到任何子域，那么该如何设置？
2. 如果不够理解源码，想当然地使用$white=["protect.domain"];来解决上述问题，会导致preg_match("/" . str_replace(".", "\\.", $item) . "$/i", $host) 这个校验可以被域名xxprotect.domain绕过

建议：
增加对单个域名的白名单支持
对输入容错，开发不够熟悉api的情况下传入了错误的参数，sdk应该对其进行处理，保证不出现安全漏洞