go这么好用的pprof包却引发了安全漏洞?规避pprof自动注册默认url
admin 阅读: 2024-03-18
| 后台-插件-广告管理-内容页头部广告(手机) |
文章目录
-
- 背景介绍
- 问题分析
- 解决方案
背景介绍
最近项目在线上被检测出有pprof有漏洞,原因是产品对外暴露的端口,可以通过http://ip:prot/debug/pprof/profile,获取到代码的堆栈信息,视为不安全的。
问题分析
之所以pprof信息不安全,这要从go的net/http/pprof包的设计来讲。
pprof作为一个非常方便的性能检测工具,基本go服务都会默认开启它,
而pprof在使用方面也是非常简单的,只需要包含net/http/pprof,并且开启一个http监听
go func() { log.Println(http.ListenAndServe("localhost:6060", nil)) }()- 1
- 2
- 3
- 4
即可帮你打包注册pprof的url
但是漏洞也就出在这个简单易用上,
由于net/http/pprof包中直接在init函数中帮你注册了pprof的这些资源url。导致,只要你包含了这个包,这些url就会被自动被注册。且url不可变,也就导致只要你包含了net/http/pprof,又用http.ListenAndServe起了httpserver,就会导致pprof堆栈被信息的泄露。
同时源码还有个坑:
在init函数中明明只有5个接口,为什么
查出来却有9个
因为其他的接口在Index中,而这些接口也同样被绑死在了默认url上
因此如果要避免这些接口的漏洞,则需要显式修改
解决方案
1.起一个新的http server,不使用默认对象
package main import ( "fmt" "log" "net/http" "net/http/pprof" ) func main() { mux := http.NewServeMux() prefix := "/test/debug/pprof" mux.Handle(prefix+"/", http.HandlerFunc(pprof.Index<- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
声明
1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。
在线投稿:投稿 站长QQ:1888636
| 后台-插件-广告管理-内容页尾部广告(手机) |
