大家好,我是煎鱼。
Google 作为一家用户体量很大的企业,有非常多的产品,经常会被黑客攻击或被拿来练手。
因此其设计的产品、编程语言、工具库等都会要求考虑安全性相关的内容。例如:各种供应链攻击、CWE 等安全的查缺补漏等。
我们作为用户(使用者),可以 “白嫖” 这些功能实现。直接复用在自家的业务上就可以了。这样每年在护网上都能省不少劲。
三个 Go 安全库
本次 Google 输出了三个新的 Go 开源库,能够提供安全、高效的解决方案。接下来会给大家分享安全库官方的一些案例和设计思路、方向。
图片
本次介绍涉及如下几个库:
- SafeText[1]:用于 YAML 和 shell 命令模板,指的是对标 text/template 的安全增强。
- SafeOpen[2]:用于打开目录中的文件,指的是对标 os.Open 等的安全增强。
- SafeArchive[3]:用于处理归档文件,指的就是压缩文件的处理,对标 archive/tar 和 archive/zip 等的安全增强。
解决了什么问题
这些库经过精心设计,可应对常见的安全攻击,可以防范 CWE TOP25 中的以下弱点:
图片
- #5 CWE-78[4]:操作系统命令中使用的特殊元素中和不当(操作系统命令注入)。
- #6 CWE-20[5]:特殊情况下,输入验证不当。
- #8 CWE-22[6]:对受限目录的路径名限制不当(路径遍历)。
这几个 Safe 系列库提供了强大的保护机制。只要使用这几个库,即使输入是由攻击者输入的,也能以无漏洞的方式执行这些基本的系统操作。
库使用和案例
SafeText
SafeText 库,是 2023 年初发布的第一个安全库的家族成员。
Google 要创造这一库的原因是:内部在使用 text/template 做开发基于 YAML 的应用程序时,经常受到 YAML 注入的攻击。
YAML 模板
SafeText 库被设计为 text/template 的直接替代品。我们可以用它来处理 YAML 模板,就像使用 text/template 一样。
两者不同的地方是:当检测到注入时,SafeText 库会返回错误。
以下是例子,假设模板如下:
---
sensitive: data
innocent: "{{ .input}}"
当使用 text/template 时,如果攻击者控制了 .input 的值,他们就可以注入换行符,覆盖其他字段或更改文档结构。
根据不同的使用情况,影响可能是严重的。例如:当变更的结果被用作生产系统的配置文件时。
如果是使用 SafeText 库时,SafeText 将返回错误信息:YAML Injection Detected,,并阻止这类可能的侵入式攻击。
Shell 命令模板
在该库原有 YAML 功能的基础上,Safe 库还增加了对 shell 命令模板的支持。
设计上考虑的是:确保输入字符串不会被注入额外的命令或标志,而不考虑潜在的错误转义。(保证安全,接受部分错误的可能)
以下是例子,假设易受攻击如下:
result := fmt.Sprintf("git commit -m %s", message)
如果信息变量受攻击者控制,且连接字符串在某个时刻被执行,那么这就是一个漏洞。
根据攻击的具体执行情况,操作系统命令或可执行文件(本例中为 git cli)的参数都可能被注入。
如果使用 Safe 库提高的 shsprintf 系列函数,例如:
message := "`脑子进煎鱼了...`"
result, err := shsprintf.Sprintf("git commit -m %s", message)
或是:
message := "`煎鱼进脑子了`"
result := shsprintf.MustSprintf("git commit -m %s", shsprintf.EscapeDefaultContext(message))
两个例子都能检测到注入尝试。第一个会返回错误,第二个则会引起恐慌。可以有效起到防护的作用。
SafeOpen
SafeOpen 库的设计目的是:防止路径遍历攻击,它通过提供在基本目录内打开文件的函数来实现这一目的。
其原理很简单:需要你指定一个受信任的根目录,该库就会强制要求文件操作不能超出该目录。
保护的缘由是:当要打开的文件路径名受攻击者控制(这意味着它可能包含 ./ 路径组件)或根目录 "不干净"(例如它包含符号链接)时,它就能提供强大的保护,因为无法跨过你所指定的目录范围。
SafeOpen 库的使用例子,如下代码:
rootDir:= "/data"
f, err := safeopen.OpenBeneath(rootDir, userInput)
if err != nil {
t.Fatalf("OpenBeneath(%q, %q) error: %v", rootDir, userInput, err)
}
// ... use f as an *os.File just like before
该库对标以下几个函数:
- os.Open
- os.OpenFile
- os.Create
- os.ReadFile
- os.WriteFile
SafeArchive
SafeArchive 库的设计目的是:防止路径遍历攻击(又称 zip slip)以及与处理归档文件相关的各种攻击。
该库可直接替换 Go 标准库中的的 archive/tar 和 archive/zip,直接换包的导入路径就可以了。使用后,压缩包中如果包含恶意信息,发现后将会被清除。
例子如下:如果该库遇到包含恶意条目 ./././././etc/cron.daily/cronjob 的 .zip 文件,该库会清理该名称,并返回为干净的 etc/cron.daily/cronjob。
代码如下:
tr := tar.NewReader(buf)
tr.SetSecurityMode(tr.GetSecurityMode() | tar.SanitizeFileMode | tar.DropXattrs)
另外还支持了许多额外保护措施,例如:跳过特殊文件、净化文件权限、净化文件名、防止通过符号链接进行遍历等;
代码如下:
tr.SetSecurityMode(tar.MaximumSecurityMode)
又或是:
tr.SetSecurityMode(tr.GetSecurityMode() &^ tar.SanitizeFileMode)
总结
这三个安全库 SafeText、SafeOpen、SafeArchive 是非常典型的代表类别,通过这几个库我们可以从解决一些漏洞类的问题。