Einführung
Web Application Firewalls (WAF) sind seit langem eine Standard-Sicherheitsl?sung zum Schutz von Webanwendungen. Cloudbasierte WAFs wie AWS WAF und Cloudflare WAF erfreuen sich aufgrund ihrer einfachen Implementierung besonders gro?er Beliebtheit. Sie bringen jedoch mehrere Herausforderungen mit sich:
- Eingeschr?nktes Verst?ndnis des Anwendungskontexts
- Hohe Rate falsch positiver Ergebnisse
- Eingeschr?nkte benutzerdefinierte Logikimplementierung
Um diese Herausforderungen anzugehen, hat ein neuer Ansatz namens In-App WAF oder RASP (Runtime Application Self-Protection) an Aufmerksamkeit gewonnen.
In diesem Beitrag stelle ich Waffle vor, eine Bibliothek zur Integration von In-App-WAF-Funktionen in Go-Webanwendungen.
- https://sitebatch.github.io/waffle-website
- https://github.com/sitebatch/waffle-go
Was ist In-App WAF/RASP?
In-App-WAF/RASP ist nicht dazu gedacht, bestehende Cloud-WAFs zu ersetzen, sondern sie vielmehr zu erg?nzen, indem die WAF-Funktionalit?t direkt in Ihre Anwendung eingebettet wird, um den Schutz zu verbessern.
Es kann g?ngige Webanwendungsangriffe wie SQL-Injection und XSS sowie Angriffe auf die Gesch?ftslogik von Anwendungen wie Credential Stuffing und Brute-Force-Versuche bew?ltigen.
Der Hauptvorteil ist die genaue Erkennung und Pr?vention durch vollst?ndige Kenntnis des Anforderungskontexts.
Bedenken Sie diese HTTP-Anfrage zum Erstellen eines Blogbeitrags:
POST /blog/post HTTP/1.1
...
{
"title": "What is SQL ?"
"body": "SQL example code: `SELECT * FROM users` ..."
}
Wenn Ihre Anwendung Platzhalter verwendet, um SQL-Anweisungen sicher zu erstellen, ist eine SQL-Injection nicht m?glich. Cloudbasierte WAFs, die auf Mustervergleich basieren, würden diese Anfrage jedoch blockieren, da sie verd?chtige SQL-?hnliche Muster enth?lt (die Zeichenfolge SELECT * FROM wirft Bedenken hinsichtlich der SQL-Injection auf).
Entwickler müssen oft mühsam Parameter, Endpunkte oder WAF-Regeln anpassen, um diese Fehlalarme zu reduzieren. Was für eine umst?ndliche Aufgabe!
Im Gegensatz dazu versteht In-App WAF/RASP den Anforderungskontext. Es erkennt, wenn keine Platzhalter verwendet werden und blockiert Angriffe nur dann, wenn ?SQL-Injection tats?chlich m?glich ist“. Dieser kontextbewusste Ansatz führt zu weniger Fehlalarmen und kann sogar dazu beitragen, Zero-Day-Schwachstellen zu mindern.
Implementierung von In-App WAF/RASP mit Waffle in Go-Anwendungen
Waffle ist eine Bibliothek, die In-App WAF/RASP-Funktionalit?t in Go-Webanwendungen erm?glicht.
Sehen wir uns an, wie Sie Waffle in Ihre Anwendung integrieren und wie es Angriffe verhindert.
Beispielanwendung
W?hrend dieses Beispiel net/http der Standardbibliothek verwendet, unterstützt Waffle auch andere Bibliotheken wie Gin und GORM.
Weitere Informationen finden Sie in der Dokumentation zu den unterstützten Bibliotheken.
Die folgende Anwendung weist eine SQL-Injection-Schwachstelle im /login-Endpunkt auf:
POST /blog/post HTTP/1.1
...
{
"title": "What is SQL ?"
"body": "SQL example code: `SELECT * FROM users` ..."
}
package main
import (
"context"
"database/sql"
"fmt"
"net/http"
_ "github.com/mattn/go-sqlite3"
)
var database *sql.DB
func init() {
setupDB()
}
func newHTTPHandler() http.Handler {
mux := http.NewServeMux()
mux.Handle("/login", http.HandlerFunc(loginController))
return mux
}
func main() {
srv := &http.Server{
Addr: ":8000",
Handler: newHTTPHandler(),
}
srv.ListenAndServe()
}
func loginController(w http.ResponseWriter, r *http.Request) {
email := r.FormValue("email")
password := r.FormValue("password")
if err := login(r.Context(), email, password); err != nil {
http.Error(w, err.Error(), http.StatusInternalServerError)
return
}
w.Write([]byte("Login success"))
}
func login(ctx context.Context, email, password string) error {
// ?? SQL INJECTION VULNERABILITY
rows, err := database.QueryContext(ctx, fmt.Sprintf("SELECT * FROM users WHERE email = '%s' AND password = '%s'", email, password))
if err != nil {
return err
}
defer rows.Close()
if !rows.Next() {
return fmt.Errorf("invalid email or password")
}
// do something
return nil
}
func setupDB() {
db, err := sql.Open("sqlite3", "file::memory:?cache=shared")
if err != nil {
panic(err)
}
if _, err := db.Exec("CREATE TABLE users(id int, email text, password text);"); err != nil {
panic(err)
}
if _, err := db.Exec("INSERT INTO users(id, email, password) VALUES(1, 'user@example.com', 'password');"); err != nil {
panic(err)
}
database = db
}
Integration von Waffle zur Verhinderung von SQL-Injection
Lassen Sie uns Waffle integrieren, um SQL-Injection zu verhindern:
$ go run .
# SQL injection attack
$ curl -i -X POST 'http://localhost:8000/login' \
--data "email=user@example.com' OR 1=1--&password="
HTTP/1.1 200 OK
Date: Sun, 05 Jan 2025 10:32:50 GMT
Content-Length: 13
Content-Type: text/plain; charset=utf-8
Login success
?ndern Sie main.go wie folgt:
$ go get github.com/sitebatch/waffle-go
Die ?nderungen sind minimal:
package main
import (
"context"
"database/sql"
"errors"
"fmt"
"net/http"
"github.com/sitebatch/waffle-go"
"github.com/sitebatch/waffle-go/action"
waffleSQL "github.com/sitebatch/waffle-go/contrib/database/sql"
waffleHTTP "github.com/sitebatch/waffle-go/contrib/net/http"
_ "github.com/mattn/go-sqlite3"
)
var database *sql.DB
func init() {
setupDB()
}
func newHTTPHandler() http.Handler {
mux := http.NewServeMux()
mux.Handle("/login", http.HandlerFunc(loginController))
handler := waffleHTTP.WafMiddleware(mux)
return handler
}
func main() {
srv := &http.Server{
Addr: ":8000",
Handler: newHTTPHandler(),
}
// Start waffle with debug mode
waffle.Start(waffle.WithDebug())
srv.ListenAndServe()
}
func loginController(w http.ResponseWriter, r *http.Request) {
email := r.FormValue("email")
password := r.FormValue("password")
if err := login(r.Context(), email, password); err != nil {
var actionErr *action.BlockError
if errors.As(err, &actionErr) {
return
}
http.Error(w, err.Error(), http.StatusInternalServerError)
return
}
w.Write([]byte("Login success"))
}
func login(ctx context.Context, email, password string) error {
// ?? SQL INJECTION VULNERABILITY
rows, err := database.QueryContext(ctx, fmt.Sprintf("SELECT * FROM users WHERE email = '%s' AND password = '%s'", email, password))
if err != nil {
return err
}
defer rows.Close()
if !rows.Next() {
return fmt.Errorf("invalid email or password")
}
// do something
return nil
}
func setupDB() {
db, err := waffleSQL.Open("sqlite3", "file::memory:?cache=shared")
if err != nil {
panic(err)
}
if _, err := db.Exec("CREATE TABLE users(id int, email text, password text);"); err != nil {
panic(err)
}
if _, err := db.Exec("INSERT INTO users(id, email, password) VALUES(1, 'user@example.com', 'password');"); err != nil {
panic(err)
}
database = db
}
Wenn wir jetzt einen SQL-Injection-Angriff versuchen, blockiert Waffle ihn:
diff --git a/main.go b/main.go
index 90b8197..9fefb06 100644
--- a/main.go
+++ b/main.go
@@ -3,9 +3,15 @@ package main
import (
"context"
"database/sql"
+ "errors"
"fmt"
"net/http"
+ "github.com/sitebatch/waffle-go"
+ "github.com/sitebatch/waffle-go/action"
+ waffleSQL "github.com/sitebatch/waffle-go/contrib/database/sql"
+ waffleHTTP "github.com/sitebatch/waffle-go/contrib/net/http"
+
_ "github.com/mattn/go-sqlite3"
)
@@ -19,7 +25,9 @@ func newHTTPHandler() http.Handler {
mux := http.NewServeMux()
mux.Handle("/login", http.HandlerFunc(loginController))
- return mux
+ handler := waffleHTTP.WafMiddleware(mux)
+
+ return handler
}
func main() {
@@ -28,6 +36,9 @@ func main() {
Handler: newHTTPHandler(),
}
+ // Start waffle with debug mode
+ waffle.Start(waffle.WithDebug())
+
srv.ListenAndServe()
}
@@ -36,6 +47,11 @@ func loginController(w http.ResponseWriter, r *http.Request) {
password := r.FormValue("password")
if err := login(r.Context(), email, password); err != nil {
+ var actionErr *action.BlockError
+ if errors.As(err, &actionErr) {
+ return
+ }
+
http.Error(w, err.Error(), http.StatusInternalServerError)
return
}
@@ -60,7 +76,7 @@ func login(ctx context.Context, email, password string) error {
}
func setupDB() {
- db, err := sql.Open("sqlite3", "file::memory:?cache=shared")
+ db, err := waffleSQL.Open("sqlite3", "file::memory:?cache=shared")
if err != nil {
panic(err)
}
Dieser HTML-Code ist die standardm??ig von Waffle zurückgegebene Fehlermeldung und sieht folgenderma?en aus:
Bei Verwendung von Platzhaltern:
Bei der Verwendung von Platzhaltern erkennt Waffle, dass eine SQL-Injection nicht m?glich ist und blockiert die Anfrage nicht:
$ curl -i -X POST 'http://localhost:8000/login' \
--data "email=user@example.com' OR 1=1--&password=" -i
HTTP/1.1 403 Forbidden
Date: Sun, 05 Jan 2025 10:38:22 GMT
Content-Length: 1574
Content-Type: text/html; charset=utf-8
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Access Denied</title>
# Fix SQL injection vulnerability
diff --git a/main.go
b/main.go
index 9fefb06..5b482f2 100644
--- a/main.go
+++ b/main.go
@@ -60,7 +60,7 @@ func loginController(w http.ResponseWriter, r *http.Request) {
}
func login(ctx context.Context, email, password string) error {
- rows, err := database.QueryContext(ctx, fmt.Sprintf("SELECT * FROM users WHERE email = '%s' AND password = '%s'", email, password))
+ rows, err := database.QueryContext(ctx, "SELECT * FROM users WHERE email = ? AND password = ?", email, password)
if err != nil {
return err
}
Beachten Sie, dass Waffle selbst in diesem Fall immer noch versuchte SQL-Injection wie eine cloudbasierte WAF erkennen kann (obwohl es diese nicht blockiert):
# Waffle won't block the request since SQL injection isn't possible
$ curl -i -X POST 'http://localhost:8000/login' \
--data "email=user@example.com' OR 1=1--&password="
HTTP/1.1 500 Internal Server Error
Content-Type: text/plain; charset=utf-8
X-Content-Type-Options: nosniff
Date: Sun, 05 Jan 2025 10:49:05 GMT
Content-Length: 26
invalid email or password
Angriffe werden von Waffle erkannt und verhindert
W?hrend wir die Verhinderung von SQL-Injection demonstriert haben, kann Waffle verschiedene Angriffe erkennen und verhindern:
- Aufkl?rung durch bekannte Sicherheitsscanner
- Verzeichnisdurchlauf
- XSS
- SQL-Injection
- Zugriff auf vertrauliche Dateien
- SSRF
- Kontoübernahme
Weitere Einzelheiten finden Sie in der Dokumentation zur Regelliste.
Die Regeln werden kontinuierlich aktualisiert und Beitr?ge sind willkommen.
Abschluss
Durch die Integration von Waffle in Ihre Anwendung k?nnen Sie Angriffe genau erkennen und verhindern.
Framework-spezifische Implementierungsleitf?den und detaillierte Nutzungsanweisungen finden Sie im Abschnitt ?Leitf?den“ in der Dokumentation.
Waffle befindet sich in aktiver Entwicklung. Wir freuen uns über Feedback und Beitr?ge.
- https://github.com/sitebatch/waffle-go
Das obige ist der detaillierte Inhalt vonEinführung in Waffle: In-App-WAF für Go-Anwendungen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
Hei?e KI -Werkzeuge
Undress AI Tool
Ausziehbilder kostenlos
Undresser.AI Undress
KI-gestützte App zum Erstellen realistischer Aktfotos
AI Clothes Remover
Online-KI-Tool zum Entfernen von Kleidung aus Fotos.
Clothoff.io
KI-Kleiderentferner
Video Face Swap
Tauschen Sie Gesichter in jedem Video mühelos mit unserem v?llig kostenlosen KI-Gesichtstausch-Tool aus!
Hei?er Artikel
Hei?e Werkzeuge
Notepad++7.3.1
Einfach zu bedienender und kostenloser Code-Editor
SublimeText3 chinesische Version
Chinesische Version, sehr einfach zu bedienen
Senden Sie Studio 13.0.1
Leistungsstarke integrierte PHP-Entwicklungsumgebung
Dreamweaver CS6
Visuelle Webentwicklungstools
SublimeText3 Mac-Version
Codebearbeitungssoftware auf Gottesniveau (SublimeText3)
Ist Golang Frontend oder Backend
Jul 08, 2025 am 01:44 AM
Golang wird haupts?chlich für die Back-End-Entwicklung verwendet, kann aber auch eine indirekte Rolle im Front-End-Bereich spielen. Die Konstruktionsziele konzentrieren sich auf leistungsstarke, gleichzeitige Programmierungen und Systeme auf Systemebene und eignen sich zum Erstellen von Back-End-Anwendungen wie API-Servern, Microservices, verteilten Systemen, Datenbankoperationen und CLI-Tools. Obwohl Golang nicht die Mainstream-Sprache für das Web-Front-End ist, kann er über Gopherjs in JavaScript zusammengestellt werden, auf WebAssembly über Tinygo ausgeführt werden oder HTML-Seiten mit einer Vorlagenmotor zur Teilnahme an der Front-End-Entwicklung erzeugen. Die moderne Front-End-Entwicklung muss jedoch noch auf JavaScript/Typecript und sein ?kosystem beruhen. Daher eignet sich Golang besser für die Auswahl der Technologiestapel mit Hochleistungs-Backend als Kern.
So erstellen Sie eine GraphQL -API in Golang
Jul 08, 2025 am 01:03 AM
Um ein GraphQLAPI in Go zu erstellen, wird empfohlen, die GQLGen -Bibliothek zur Verbesserung der Entwicklungseffizienz zu verwenden. 1. W?hlen Sie zun?chst die entsprechende Bibliothek wie GQLGen aus, die die automatische Codegenerierung basierend auf dem Schema unterstützt. 2. Definieren Sie dann GraphQlSchema, beschreiben Sie das API -Struktur und das Abfrageportal, z. B. das Definieren von Post -Typen und Abfragemethoden; 3. Initialisieren Sie dann das Projekt und generieren Sie grundlegende Code, um die Gesch?ftslogik in Resolver zu implementieren. 4. Schlie?lich verbinden Sie GraphQlHandler mit HTTPServer und testen Sie die API über den integrierten Spielplatz. Zu den Anmerkungen geh?ren Feldnamenspezifikationen, Fehlerbehandlung, Leistungsoptimierung und Sicherheitseinstellungen, um die Projektwartung sicherzustellen
So installieren Sie sich
Jul 09, 2025 am 02:37 AM
Der Schlüssel zur Installation von GO besteht darin, die richtige Version auszuw?hlen, Umgebungsvariablen zu konfigurieren und die Installation zu überprüfen. 1. Gehen Sie zur offiziellen Website, um das Installationspaket des entsprechenden Systems herunterzuladen. Windows verwendet .msi -Dateien, macOS. PKG -Dateien, Linux verwendet .tar.gz -Dateien und entpackt sie in /usr /lokales Verzeichnis. 2. Konfigurieren Sie Umgebungsvariablen, bearbeiten Sie ~/.bashrc oder ~/.zshrc in Linux/macOS, um Pfad und GOPath hinzuzufügen, und Windows -Set -Pfad, um die Systemeigenschaften zu verfolgen. 3.. Verwenden Sie das Regierungsbefehl, um die Installation zu überprüfen, und führen Sie das Testprogramm Hello.go aus, um zu best?tigen, dass die Zusammenstellung und Ausführung normal ist. Pfadeinstellungen und Schleifen w?hrend des gesamten Prozesses
Go Sync.waitGroup Beispiel
Jul 09, 2025 am 01:48 AM
Sync.waitGroup wird verwendet, um auf eine Gruppe von Goroutinen zu warten, um die Aufgabe zu erledigen. Sein Kern besteht darin, drei Methoden zusammenzuarbeiten: hinzufügen, fertig und warten. 1.Add (n) Stellen Sie die Anzahl der Goroutiner fest, um zu warten; 2.Done () wird am Ende jeder Goroutine bezeichnet, und die Anzahl wird um eins reduziert; 3.wait () blockiert die Hauptkorutine, bis alle Aufgaben erledigt sind. Beachten Sie bitte, dass Sie bei der Verwendung au?erhalb der Goroutine doppelte Warten vermeiden, und stellen Sie sicher, dass der Don aufgerufen wird. Es wird empfohlen, es mit Aufhebung zu verwenden. Es ist h?ufig bei der gleichzeitigen Krabbeln von Webseiten, der Stapeldatenverarbeitung und anderer Szenarien und kann den Parallelit?tsprozess effektiv steuern.
Gehen Sie für Audio-/Videoverarbeitung
Jul 20, 2025 am 04:14 AM
Der Kern der Audio- und Videoverarbeitung liegt darin, die grundlegenden Prozess- und Optimierungsmethoden zu verstehen. 1. Der grundlegende Prozess umfasst Akquisition, Codierung, übertragung, Decodierung und Wiedergabe, und jeder Link hat technische Schwierigkeiten. 2. H?ufige Probleme wie Audio- und Video -Aberration, Verz?gerungsverz?gerung, Schallger?usch, verschwommenes Bild usw. k?nnen durch synchrone Einstellung, Codierungsoptimierung, Rauschverringerungsmodul, Parameteranpassung usw. gel?st werden; 3.. Es wird empfohlen, FFMPEG, OpenCV, Webrtc, Gstreamer und andere Tools zu verwenden, um Funktionen zu erzielen. 4. In Bezug auf das Leistungsmanagement sollten wir auf die Beschleunigung der Hardware, die angemessene Einstellung der Aufl?sungsrahmenquoten, die Kontrollverkehr und Speicher -Leckage -Probleme achten. Wenn Sie diese wichtigen Punkte beherrschen, werden die Entwicklungseffizienz und die Benutzererfahrung verbessert.
Gehen Sie ein Paket -Tutorial ein
Jul 09, 2025 am 02:46 AM
Durch die Verwendung von GO -Einbettenpaket k?nnen statische Ressourcen einfach in bin?re und für Webdienste geeignet einbetten, um HTML, CSS, Bilder und andere Dateien zu verpacken. 1. Deklarieren Sie die eingebettete Ressource zum Hinzufügen // Go: Einbetten Sie einen Kommentar vor der Variablen ein, z. B. das Einbettung einer einzelnen Datei hello.txt; 2. Es kann in das gesamte Verzeichnis wie static/*eingebettet werden und die Multi-File-Verpackung durch Einbettung.Fs realisieren; 3.. Es wird empfohlen, den Festplattenlastmodus über Geb?ude- oder Umgebungsvariablen zu wechseln, um die Effizienz zu verbessern. 4. Achten Sie auf Pfadgenauigkeit, Einschr?nkungen der Dateigr??en und schreibgeschützte Merkmale eingebetteter Ressourcen. Die rationale Verwendung von Einbetten kann die Bereitstellung vereinfachen und die Projektstruktur optimieren.
So erstellen Sie einen Webserver in Go
Jul 15, 2025 am 03:05 AM
Es ist nicht schwierig, einen in Go geschriebenen Webserver zu erstellen. Der Kern liegt in der Verwendung des NET/HTTP -Pakets zur Implementierung grundlegender Dienste. 1. Verwenden Sie Net/HTTP, um den einfachsten Server zu starten: Registrieren Sie die Verarbeitungsfunktionen und h?ren Sie Ports über einige Codezeilen an. 2. Routing -Management: Verwenden Sie ServeMux, um mehrere Schnittstellenpfade für eine einfache strukturierte Verwaltung zu organisieren. 3. H?ufige Praktiken: Gruppenrouting nach funktionalen Modulen und verwenden Bibliotheken von Drittanbietern, um eine komplexe übereinstimmung zu unterstützen. 4. Statischer Dateidienst: Geben Sie HTML-, CSS- und JS -Dateien über http.FileServer an; 5. Leistung und Sicherheit: Aktivieren Sie HTTPS, begrenzen Sie die Gr??e des Anforderungsorganisation und stellen Sie Zeitüberschreitungen ein, um die Sicherheit und Leistung zu verbessern. Nach dem Beherrschen dieser Schlüsselpunkte ist es einfacher, die Funktionalit?t zu erweitern.
W?hlen Sie mit Standardfall ausw?hlen
Jul 14, 2025 am 02:54 AM
Der Zweck von Select Plus -Standard besteht darin, das Ausw?hlen zu erm?glichen, ein Standardverhalten durchzuführen, wenn keine anderen Zweige bereit sind, um das Programmblockieren zu vermeiden. 1. Beim Empfangen von Daten aus dem Kanal ohne Blockierung, wenn der Kanal leer ist, wird direkt die Standardzweigung eingegeben. 2. In Kombination mit der Zeit. Nach oder Ticker versuchen Sie, Daten regelm??ig zu senden. Wenn der Kanal voll ist, wird er nicht blockiert und überspringt. 3. Verhindern Sie Deadlocks, vermeiden Sie das Programm, das nicht sicher ist, ob der Kanal geschlossen ist. Beachten Sie bei der Verwendung, dass die Standardzweig sofort ausgeführt wird und nicht missbraucht wird, und standardm??ig und der Fall sind sich gegenseitig ausschlie?lich und werden nicht gleichzeitig ausgeführt.
