go这么好用的pprof包却引发了安全漏洞?规避pprof自动注册默认url

这篇具有很好参考价值的文章主要介绍了go这么好用的pprof包却引发了安全漏洞?规避pprof自动注册默认url。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

背景介绍

最近项目在线上被检测出有pprof有漏洞,原因是产品对外暴露的端口,可以通过http://ip:prot/debug/pprof/profile,获取到代码的堆栈信息,视为不安全的。

问题分析

之所以pprof信息不安全,这要从go的net/http/pprof包的设计来讲。

pprof作为一个非常方便的性能检测工具,基本go服务都会默认开启它,

而pprof在使用方面也是非常简单的,只需要包含net/http/pprof,并且开启一个http监听

go func() {
   
		log.Println(http.ListenAndServe("localhost:6060", nil))
	}()

即可帮你打包注册pprof的url

pprof调试信息泄露漏洞,golang,开发语言,后端,pprof

但是漏洞也就出在这个简单易用上,

由于net/http/pprof包中直接在init函数中帮你注册了pprof的这些资源url。导致,只要你包含了这个包,这些url就会被自动被注册。且url不可变,也就导致只要你包含了net/http/pprof,又用http.ListenAndServe起了httpserver,就会导致pprof堆栈被信息的泄露。

同时源码还有个坑:
在init函数中明明只有5个接口,为什么
pprof调试信息泄露漏洞,golang,开发语言,后端,pprof
查出来却有9个
因为其他的接口在Index中,而这些接口也同样被绑死在了默认url上
pprof调试信息泄露漏洞,golang,开发语言,后端,pprof
因此如果要避免这些接口的漏洞,则需要显式修改

解决方案

1.起一个新的http server,不使用默认对象文章来源地址https://www.toymoban.com/news/detail-804808.html

package main

import (
	"fmt"
	"log"
	"net/http"
	"net/http/pprof"
)

func main() {
   
	mux := http.NewServeMux()
	prefix := "/test/debug/pprof"
	mux.Handle(prefix+"/", http.HandlerFunc(pprof.Index<

到了这里,关于go这么好用的pprof包却引发了安全漏洞?规避pprof自动注册默认url的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 安全漏洞分类之CNNVD漏洞分类指南

    适用范围说明 凡是被国家信息安全漏洞库(CNNVD)收录的漏洞,均适用此分类规范,包括采集的公开漏洞以及收录的未公开漏洞,通用型漏洞及事件型漏洞。 漏洞类型 CNNVD将信息安全漏洞划分为26种类型,分别是:配置错误、代码问题、资源管理错误、数字错误、信息泄露、

    2024年02月02日
    浏览(41)
  • 【安全漏洞】ThinkPHP 3.2.3 漏洞复现

    在 HomeControllerIndexController 下的index中传入了一个可控参数,跟进调试看一下。 跟进 display() 一路跟进到 fetch() ,然后一路进入 Hook::listen(\\\'view_parse\\\', $params); 关键地方在这,我们之前 index 里的内容被存入了缓存文件php文件中,连带着我们输入的可控的php代码也在其中,然后包

    2024年02月12日
    浏览(49)
  • Web安全漏洞介绍及防御-文件上传漏洞

    🐳博客主页:举杯同庆 – 生命不息,折腾不止 🌐订阅专栏:『Web安全』 📰如觉得博主文章写的不错,或对你有所帮助的话,请多多支持呀! 👉关注✨、点赞👍、收藏📂、评论。 话题讨论 中国经济周刊-2022-07-08 新闻 万豪国际集团证实了近期一起数据泄露事件,一个月

    2024年02月02日
    浏览(41)
  • 《WEB安全漏洞100讲》(第4讲)CSRF漏洞

    CSRF(Cross-site request forgery),跨站请求伪造,简写 CSRF/XSRF。指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作

    2023年04月08日
    浏览(42)
  • 「 典型安全漏洞系列 」12.OAuth 2.0身份验证漏洞

    在浏览网页时,你肯定会遇到允许你使用社交媒体帐户登录的网站。此功能一般是使用流行的OAuth 2.0框架构建的。本文主要介绍如何识别和利用OAuth 2.0身份验证机制中发现的一些关键漏洞。 为了更好的理解OAuth,我们假设有如下场景:有一个提供云冲印的网站,该网站可以将

    2024年04月10日
    浏览(39)
  • 5.5 漏洞扫描:Web安全漏洞扫描及审计

    目录 一、预备知识:Web漏洞的获取方法与w3af 1. 漏洞扫描 2. 漏洞扫描器 3.  w3af 二、实验环境 三、实验步骤 四、实验思考 1. 漏洞扫描         漏洞扫描除用于网络攻击外,还用于对网络的安全防御。系统管理员通过对网络漏洞的系统扫描,全面地了解网络的安全状态,

    2024年02月09日
    浏览(43)
  • 漏洞修复--Haxx curl 安全漏洞 (CVE-2020-8177)

    Haxxcurl是瑞典Haxx公司的一套利用URL语法在命令行下工作的文件传输工具。该工具支持文件上传和下载,并包含一个用于程序开发的libcurl(客户端URL传输库)。Haxxcurl7.20.0版本至7.71.0之前版本中存在安全漏洞。攻击者可利用该漏洞覆盖本地文件。 使用阿里云或者腾讯云的仓库

    2024年02月08日
    浏览(51)
  • 小迪安全33WEB 攻防-通用漏洞&文件上传&中间件解析漏洞&编辑器安全

    # 知识点: 1 、中间件安全问题 2 、中间件文件上传解析 3 、 Web 应用编辑器上传 编辑器也就是第三方插件,一般都是文件上传漏洞 # 详细点: 1 、检测层面:前端,后端等 2 、检测内容:文件头,完整性,二次渲染等 3 、检测后缀:黑名单,白名单, MIME 检测等 4 、绕过技

    2024年03月16日
    浏览(59)
  • 常见的安全扫描漏洞的工具、漏洞分类及处理

    Nikto 这是一个开源的Web服务器扫描程序,它可以对Web服务器的多种项目进行全面的测试。其扫描项目和插件经常更新并且可以自动更新。Nikto可以在尽可能短的周期内测试你的Web服务器,这在其日志文件中相当明显。不过,如果你想试验一下,它也可以支持 LibWhisker的反IDS方法

    2023年04月08日
    浏览(50)
  • 多个安全厂商安全设备 远程命令执行漏洞复现

    此文章仅用于技术交流,严禁用于对外发起恶意攻击!!! 该漏洞可执行远程代码 FOFA:body=“/webui/images/default/default/alert_close.jpg”

    2024年02月03日
    浏览(44)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包