Merge pull request #2902 from traPtitech/hotfix/ogp-ssrf

fix SSRF when fetching OGP

Author: ramdos0207

service/ogp/parser/errors.go

@@ -15,4 +15,6 @@ var (
 	ErrServer = errors.New("network error (server)")
 	// ErrDomainRequest 特殊処理を行うドメインのURLが期待した形式ではありませんでした
 	ErrDomainRequest = errors.New("bad request for special domain ")
+	// ErrNotAllowed URLが許可されていません
+	ErrNotAllowed = errors.New("access to this URL is not allowed")
 )

service/ogp/parser/parser.go

@@ -2,6 +2,7 @@ package parser
 
 import (
 	"context"
+	"net"
 	"net/http"
 	"net/url"
 	"strings"
@@ -21,19 +22,112 @@ type DefaultPageMeta struct {
 	Title, Description, URL, Image string
 }
 
+// isPrivateIP はIPアドレスがプライベート、ループバック、リンクローカル、またはその他の内部アドレスかどうかを判定します
+func isPrivateIP(ip net.IP) bool {
+	if ip == nil {
+		return true // 不明なIPはブロック
+	}
+	// ループバック (127.0.0.0/8, ::1)
+	if ip.IsLoopback() {
+		return true
+	}
+	// プライベートアドレス (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, fc00::/7)
+	if ip.IsPrivate() {
+		return true
+	}
+	// リンクローカル (169.254.0.0/16, fe80::/10)
+	if ip.IsLinkLocalUnicast() || ip.IsLinkLocalMulticast() {
+		return true
+	}
+	// 未指定アドレス (0.0.0.0, ::)
+	if ip.IsUnspecified() {
+		return true
+	}
+	// マルチキャスト
+	if ip.IsMulticast() {
+		return true
+	}
+	return false
+}
+
+// validateURL はURLがSSRFに対して安全かどうかを検証し、検証済みのIPアドレスを返します
+func validateURL(u *url.URL) ([]net.IP, error) {
+	// スキームの検証
+	if u.Scheme != "http" && u.Scheme != "https" {
+		return nil, ErrNotAllowed
+	}
+
+	// ホスト名を取得
+	host := u.Hostname()
+	if host == "" {
+		return nil, ErrNotAllowed
+	}
+
+	// IPアドレスの場合は直接検証
+	if ip := net.ParseIP(host); ip != nil {
+		if isPrivateIP(ip) {
+			return nil, ErrNotAllowed
+		}
+		return []net.IP{ip}, nil
+	}
+
+	// ホスト名の場合はDNS解決して検証
+	ips, err := net.LookupIP(host)
+	if err != nil {
+		return nil, ErrNetwork
+	}
+
+	for _, ip := range ips {
+		if isPrivateIP(ip) {
+			return nil, ErrNotAllowed
+		}
+	}
+
+	return ips, nil
+}
+
 // ParseMetaForURL 指定したURLのメタタグをパースした結果を返します。
 func ParseMetaForURL(url *url.URL) (*opengraph.OpenGraph, *DefaultPageMeta, error) {
 	_ = requestLimiter.Acquire(context.Background(), 1)
 	defer requestLimiter.Release(1)
 
+	// SSRF対策: URLを検証し、検証済みIPアドレスを取得
+	resolvedIPs, err := validateURL(url)
+	if err != nil {
+		return nil, nil, err
+	}
+
 	og, meta, isSpecialDomain, err := FetchSpecialDomainInfo(url)
 	if isSpecialDomain && (err == nil) {
 		return og, meta, nil
 	}
 
-	client := http.Client{
+	// SSRF対策: 検証済みのIPアドレスを使用してリクエストを送信
+	dialer := &net.Dialer{
 		Timeout: 5 * time.Second,
 	}
+	transport := &http.Transport{
+		DialContext: func(ctx context.Context, network, addr string) (net.Conn, error) {
+			_, port, err := net.SplitHostPort(addr)
+			if err != nil {
+				return nil, err
+			}
+
+			// 検証済みのIPアドレスに接続
+			addr = net.JoinHostPort(resolvedIPs[0].String(), port)
+			return dialer.DialContext(ctx, network, addr)
+		},
+	}
+
+	client := http.Client{
+		Timeout:   5 * time.Second,
+		Transport: transport,
+		CheckRedirect: func(req *http.Request, _ []*http.Request) error {
+			// Validate redirect destination to prevent SSRF via redirects
+			_, err := validateURL(req.URL)
+			return err
+		},
+	}
 
 	req, err := http.NewRequest("GET", url.String(), nil)
 	if err != nil {