Permify项目中HTTP请求引发的SSRF安全风险分析

什么是SSRF攻击

SSRF(Server-Side Request Forgery)即服务器端请求伪造，是一种由攻击者构造特殊请求，由服务端发起非预期网络请求的安全问题。当应用程序在未充分验证用户提供的URL参数情况下，直接使用该URL发起网络请求时，就可能存在SSRF风险。

Permify项目中的风险点

在Permify项目的代码审计中，发现两处可能存在SSRF风险的代码位置：

1. 内部认证模块(internal/authn/oidc/authn.go)
2. 模式加载器(pkg/schema/loader.go)

这些模块在处理HTTP请求时，如果URL参数来自不可信的用户输入且未经验证，攻击者可能构造特殊URL让服务器访问内部网络资源，甚至获取云环境中的配置信息。

攻击场景分析

假设Permify应用中存在以下情况：

• 允许用户提供自定义的OIDC配置端点URL
• 能够从用户指定的位置加载模式定义文件

攻击者可以：

1. 提供指向内部服务的URL(如http://[内部地址]/meta-data/)尝试获取云配置
2. 扫描内部网络服务
3. 访问本地文件系统(如果协议处理不当)
4. 作为跳板访问其他内部系统

防御方案建议

1. 输入验证与允许列表机制

最有效的防护是实施严格的URL允许列表机制。对于OIDC端点等场景，可以：

var allowedDomains = map[string]bool{
    "accounts.google.com": true,
    "login.microsoftonline.com": true,
    // 其他可信域名
}

func validateURL(inputURL string) error {
    u, err := url.Parse(inputURL)
    if err != nil {
        return err
    }
    if !allowedDomains[u.Hostname()] {
        return errors.New("domain not allowed")
    }
    return nil
}

2. 网络层防护

对于无法完全允许列表的场景，应采取以下措施：

• 禁用HTTP重定向
• 设置合理的请求超时
• 限制响应大小
• 阻止特定IP地址段
• 阻止本地回环地址
• 阻止特定本地地址

3. 请求隔离

对于必须处理不可信URL的场景：

• 使用专用网络环境执行请求
• 实施严格的出站防火墙规则
• 监控异常请求模式

4. 响应处理

如果应用需要将获取的数据返回给用户：

• 验证响应内容类型
• 限制响应数据大小
• 清理潜在的不安全内容
• 记录完整的请求日志用于审计

实施建议

对于Permify项目，建议：

1. 在OIDC认证流程中，验证提供者URL是否属于预配置的可信列表
2. 在模式加载器中，限制可加载资源的来源
3. 为所有外部请求添加统一的中间件，实施上述防护措施
4. 增加详细的日志记录，便于事后审计

通过实施这些安全措施，可以显著降低Permify应用面临的SSRF风险，保护内部网络资源不被未授权访问。