Google 孵化了三个Go安全库,推荐使用!

2024年 4月 29日 86.0k 0

大家好,我是煎鱼。

Google 作为一家用户体量很大的企业,有非常多的产品,经常会被黑客攻击或被拿来练手。

因此其设计的产品、编程语言、工具库等都会要求考虑安全性相关的内容。例如:各种供应链攻击、CWE 等安全的查缺补漏等。

我们作为用户(使用者),可以 “白嫖” 这些功能实现。直接复用在自家的业务上就可以了。这样每年在护网上都能省不少劲。

三个 Go 安全库

本次 Google 输出了三个新的 Go 开源库,能够提供安全、高效的解决方案。接下来会给大家分享安全库官方的一些案例和设计思路、方向。

图片图片

本次介绍涉及如下几个库:

  • SafeText[1]:用于 YAML 和 shell 命令模板,指的是对标 text/template 的安全增强。
  • SafeOpen[2]:用于打开目录中的文件,指的是对标 os.Open 等的安全增强。
  • SafeArchive[3]:用于处理归档文件,指的就是压缩文件的处理,对标 archive/tar 和 archive/zip 等的安全增强。

解决了什么问题

这些库经过精心设计,可应对常见的安全攻击,可以防范 CWE TOP25 中的以下弱点:

图片图片

  • #5 CWE-78[4]:操作系统命令中使用的特殊元素中和不当(操作系统命令注入)。
  • #6 CWE-20[5]:特殊情况下,输入验证不当。
  • #8 CWE-22[6]:对受限目录的路径名限制不当(路径遍历)。

这几个 Safe 系列库提供了强大的保护机制。只要使用这几个库,即使输入是由攻击者输入的,也能以无漏洞的方式执行这些基本的系统操作。

库使用和案例

SafeText

SafeText 库,是 2023 年初发布的第一个安全库的家族成员。

Google 要创造这一库的原因是:内部在使用 text/template 做开发基于 YAML 的应用程序时,经常受到 YAML 注入的攻击。

YAML 模板

SafeText 库被设计为 text/template 的直接替代品。我们可以用它来处理 YAML 模板,就像使用 text/template 一样。

两者不同的地方是:当检测到注入时,SafeText 库会返回错误。

以下是例子,假设模板如下:

---
sensitive: data
innocent: "{{ .input}}"

当使用 text/template 时,如果攻击者控制了 .input 的值,他们就可以注入换行符,覆盖其他字段或更改文档结构。

根据不同的使用情况,影响可能是严重的。例如:当变更的结果被用作生产系统的配置文件时。

如果是使用 SafeText 库时,SafeText 将返回错误信息:YAML Injection Detected,,并阻止这类可能的侵入式攻击。

Shell 命令模板

在该库原有 YAML 功能的基础上,Safe 库还增加了对 shell 命令模板的支持。

设计上考虑的是:确保输入字符串不会被注入额外的命令或标志,而不考虑潜在的错误转义。(保证安全,接受部分错误的可能)

以下是例子,假设易受攻击如下:

result := fmt.Sprintf("git commit -m %s", message)

如果信息变量受攻击者控制,且连接字符串在某个时刻被执行,那么这就是一个漏洞。

根据攻击的具体执行情况,操作系统命令或可执行文件(本例中为 git cli)的参数都可能被注入。

如果使用 Safe 库提高的 shsprintf 系列函数,例如:

message := "`脑子进煎鱼了...`"
result, err := shsprintf.Sprintf("git commit -m %s", message)

或是:

message := "`煎鱼进脑子了`"
result := shsprintf.MustSprintf("git commit -m %s", shsprintf.EscapeDefaultContext(message))

两个例子都能检测到注入尝试。第一个会返回错误,第二个则会引起恐慌。可以有效起到防护的作用。

SafeOpen

SafeOpen 库的设计目的是:防止路径遍历攻击,它通过提供在基本目录内打开文件的函数来实现这一目的。

其原理很简单:需要你指定一个受信任的根目录,该库就会强制要求文件操作不能超出该目录。

保护的缘由是:当要打开的文件路径名受攻击者控制(这意味着它可能包含 ./ 路径组件)或根目录 "不干净"(例如它包含符号链接)时,它就能提供强大的保护,因为无法跨过你所指定的目录范围。

SafeOpen 库的使用例子,如下代码:

rootDir:= "/data"
f, err := safeopen.OpenBeneath(rootDir, userInput)
if err != nil {
    t.Fatalf("OpenBeneath(%q, %q) error: %v", rootDir, userInput, err)
}
// ... use f as an *os.File just like before

该库对标以下几个函数:

  • os.Open
  • os.OpenFile
  • os.Create
  • os.ReadFile
  • os.WriteFile

SafeArchive

SafeArchive 库的设计目的是:防止路径遍历攻击(又称 zip slip)以及与处理归档文件相关的各种攻击。

该库可直接替换 Go 标准库中的的 archive/tar 和 archive/zip,直接换包的导入路径就可以了。使用后,压缩包中如果包含恶意信息,发现后将会被清除。

例子如下:如果该库遇到包含恶意条目 ./././././etc/cron.daily/cronjob 的 .zip 文件,该库会清理该名称,并返回为干净的 etc/cron.daily/cronjob。

代码如下:

tr := tar.NewReader(buf)
tr.SetSecurityMode(tr.GetSecurityMode() | tar.SanitizeFileMode | tar.DropXattrs)

另外还支持了许多额外保护措施,例如:跳过特殊文件、净化文件权限、净化文件名、防止通过符号链接进行遍历等;

代码如下:

tr.SetSecurityMode(tar.MaximumSecurityMode)

又或是:

tr.SetSecurityMode(tr.GetSecurityMode() &^ tar.SanitizeFileMode)

总结

这三个安全库 SafeText、SafeOpen、SafeArchive 是非常典型的代表类别,通过这几个库我们可以从解决一些漏洞类的问题。

相关文章

JavaScript2024新功能:Object.groupBy、正则表达式v标志
PHP trim 函数对多字节字符的使用和限制
新函数 json_validate() 、randomizer 类扩展…20 个PHP 8.3 新特性全面解析
使用HTMX为WordPress增效:如何在不使用复杂框架的情况下增强平台功能
为React 19做准备:WordPress 6.6用户指南
如何删除WordPress中的所有评论

发布评论