PHP开发中防御SSRF

参考phith0n的谈一谈如何在Python开发中拒绝SSRF漏洞,用PHP写一个检测是否是内网URL的函数。

需要注意的是,我写的这个检测URL的函数并没有考虑到客户端允许重定向跟踪的情况。如果允许重定向跟踪则需要检查每个30x响应包的location字段。

<?php
/*
*  判断是否合法的URL,合法则返回true;
*  格式不是http/https协议,或是内网IP,则视为不合法
*
*  注意:判断是否是内网url的时候并没有检测30X跳转的location响应头部,
*  使用此方法时,要求curl或其他工具设置不允许重定向跟踪
*
*  @author Ovie
*  @param string $url
*  @return bool
*/
function is_allowed_URL($url){
    //可用来防止HTTP头注入
    if (!$url || !filter_var($url, FILTER_VALIDATE_URL, FILTER_FLAG_PATH_REQUIRED & FILTER_FLAG_HOST_REQUIRED & FILTER_FLAG_QUERY_REQUIRED)){
        return false;
    }
  
    //仅允许http或https协议
    if(!preg_match('/^https?:\/\/.*$/', $url)){
        return false;
    }
    
    $host = parse_url($url, PHP_URL_HOST);
    if(!$host){
        return false;
    }
    
    $ip = gethostbyname($host);
    $ip = ip2long($ip);
    if($ip === false){
        return false;
    }
    
    $is_inner_ipaddress = ip2long('127.0.0.0') >> 24 == $ip >> 24 or 
        ip2long('10.0.0.0') >> 24 == $ip >> 24 or 
        ip2long('172.16.0.0') >> 20 == $ip >> 20 or 
        ip2long('192.168.0.0') >> 16 == $ip >> 16 ;
    if($is_inner_ipaddress){
        return false;
    }
    
    return true;
}

if(isset($_GET['url'])){
    $url = $_GET['url'];
    var_dump(is_allowed_URL($url));
}
?>

说下上面的用到的两个PHP函数:parse_url()gethostbyname()

  1. PHP解析URL的host:

    parse_url()函数不是用来验证给定 URL 的合法性的,只是将其分解为几部分。不完整的 URL 也被接受,parse_url()会尝试尽量正确地将其解析。

    参考:http://php.net/manual/zh/function.parse-url.php

  2. PHP解析URL的IP:

    gethostbyname($hostname)函数会返回IPv4地址,解析失败的话就会返回没被修改过的$hostname

    参考:http://php.net/manual/zh/function.gethostbyname.php

(如有什么问题,请指出~~)

推荐阅读更多精彩内容