背景介绍
最近项目在线上被检测出有pprof有漏洞,原因是产品对外暴露的端口,可以通过http://ip:prot/debug/pprof/profile,获取到代码的堆栈信息,视为不安全的。
问题分析
之所以pprof信息不安全,这要从go的net/http/pprof包的设计来讲。
pprof作为一个非常方便的性能检测工具,基本go服务都会默认开启它,
而pprof在使用方面也是非常简单的,只需要包含net/http/pprof,并且开启一个http监听
go func() {
log.Println(http.ListenAndServe("localhost:6060", nil))
}()
即可帮你打包注册pprof的url
但是漏洞也就出在这个简单易用上,
由于net/http/pprof包中直接在init函数中帮你注册了pprof的这些资源url。导致,只要你包含了这个包,这些url就会被自动被注册。且url不可变,也就导致只要你包含了net/http/pprof,又用http.ListenAndServe起了httpserver,就会导致pprof堆栈被信息的泄露。
同时源码还有个坑:
在init函数中明明只有5个接口,为什么
查出来却有9个
因为其他的接口在Index中,而这些接口也同样被绑死在了默认url上
因此如果要避免这些接口的漏洞,则需要显式修改文章来源:https://www.toymoban.com/news/detail-804808.html
解决方案
1.起一个新的http server,不使用默认对象文章来源地址https://www.toymoban.com/news/detail-804808.html
package main
import (
"fmt"
"log"
"net/http"
"net/http/pprof"
)
func main() {
mux := http.NewServeMux()
prefix := "/test/debug/pprof"
mux.Handle(prefix+"/", http.HandlerFunc(pprof.Index<到了这里,关于go这么好用的pprof包却引发了安全漏洞?规避pprof自动注册默认url的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
