亚洲国产日韩欧美一区二区三区,精品亚洲国产成人av在线,国产99视频精品免视看7,99国产精品久久久久久久成人热,欧美日韩亚洲国产综合乱

首頁 後端開發(fā) Golang Waffle 簡(jiǎn)介:Go 應(yīng)用程式的應(yīng)用程式內(nèi) WAF

Waffle 簡(jiǎn)介:Go 應(yīng)用程式的應(yīng)用程式內(nèi) WAF

Jan 05, 2025 pm 10:42 PM

介紹

Web 應(yīng)用程式防火牆 (WAF) 長(zhǎng)期以來一直是保護(hù) Web 應(yīng)用程式的標(biāo)準(zhǔn)安全解決方案。 AWS WAF 和 Cloudflare WAF 等基於雲(yún)端的 WAF 由於易於實(shí)施而特別受歡迎。然而,它們也面臨一些挑戰(zhàn):

  • 對(duì)應(yīng)用程式上下文的了解有限
  • 誤報(bào)率高
  • 受限的自訂邏輯實(shí)作

為了應(yīng)對(duì)這些挑戰(zhàn),一種稱為應(yīng)用內(nèi) WAF 或 RASP(運(yùn)行時(shí)應(yīng)用程式自我保護(hù))的新方法正在引起人們的注意。

在這篇文章中,我將介紹 Waffle,一個(gè)用於將應(yīng)用程式內(nèi) WAF 功能整合到 Go Web 應(yīng)用程式中的程式庫。

  • https://sitebatch.github.io/waffle-website
  • https://github.com/sitebatch/waffle-go

Introduction to Waffle: In-app WAF for Go Applications

什麼是應(yīng)用內(nèi) WAF/RASP?

應(yīng)用程式內(nèi) WAF/RASP 並不是要取代現(xiàn)有的雲(yún)端 WAF,而是透過將 WAF 功能直接嵌入到您的應(yīng)用程式中來補(bǔ)充它們,以增強(qiáng)保護(hù)。
它可以處理常見的 Web 應(yīng)用程式攻擊,例如 SQL 注入和 XSS,以及應(yīng)用程式業(yè)務(wù)邏輯攻擊,例如撞庫和暴力嘗試。

主要優(yōu)勢(shì)是透過完整的請(qǐng)求上下文感知來準(zhǔn)確檢測(cè)和預(yù)防。

考慮這個(gè)用於建立部落格文章的 HTTP 請(qǐng)求:

POST /blog/post HTTP/1.1
...

{
  "title": "What is SQL ?"
  "body": "SQL example code: `SELECT * FROM users` ..."
}

如果您的應(yīng)用程式使用佔(zhàn)位符來安全地建構(gòu) SQL 語句,則 SQL 注入是不可能的。但是,依賴模式匹配的基於雲(yún)端的 WAF 會(huì)阻止此請(qǐng)求,因?yàn)樗梢傻念愃?SQL 的模式(字串 SELECT * FROM 會(huì)引發(fā) SQL 注入問題)。

開發(fā)人員經(jīng)常發(fā)現(xiàn)自己需要繁瑣地調(diào)整參數(shù)、端點(diǎn)或 WAF 規(guī)則來減少這些誤報(bào)。好麻煩的任務(wù)?。?

相較之下,應(yīng)用內(nèi) WAF / RASP 可以理解請(qǐng)求上下文。它可以識(shí)別何時(shí)未使用佔(zhàn)位符,並且僅在「實(shí)際上可能發(fā)生 SQL 注入」時(shí)阻止攻擊。這種情境感知方法可以減少誤報(bào),甚至可以幫助緩解零日漏洞。

在 Go 應(yīng)用程式中使用 Waffle 實(shí)作應(yīng)用程式內(nèi) WAF/RASP

Waffle 是一個(gè)在 Go Web 應(yīng)用程式中啟用應(yīng)用程式內(nèi) WAF / RASP 功能的函式庫。

讓我們看看如何將 Waffle 整合到您的應(yīng)用程式中以及它如何防止攻擊。

應(yīng)用範(fàn)例

雖然此範(fàn)例使用標(biāo)準(zhǔn)函式庫的 net/http,但 Waffle 也支援其他函式庫,例如 Gin 和 GORM。
有關(guān)更多詳細(xì)信息,請(qǐng)查看支援的庫文檔。

以下應(yīng)用程式在 /login 端點(diǎn)中存在 SQL 注入漏洞:

POST /blog/post HTTP/1.1
...

{
  "title": "What is SQL ?"
  "body": "SQL example code: `SELECT * FROM users` ..."
}

package main

import (
    "context"
    "database/sql"
    "fmt"
    "net/http"

    _ "github.com/mattn/go-sqlite3"
)

var database *sql.DB

func init() {
    setupDB()
}

func newHTTPHandler() http.Handler {
    mux := http.NewServeMux()
    mux.Handle("/login", http.HandlerFunc(loginController))

    return mux
}

func main() {
    srv := &http.Server{
        Addr:    ":8000",
        Handler: newHTTPHandler(),
    }

    srv.ListenAndServe()
}

func loginController(w http.ResponseWriter, r *http.Request) {
    email := r.FormValue("email")
    password := r.FormValue("password")

    if err := login(r.Context(), email, password); err != nil {
        http.Error(w, err.Error(), http.StatusInternalServerError)
        return
    }

    w.Write([]byte("Login success"))
}

func login(ctx context.Context, email, password string) error {
    // ?? SQL INJECTION VULNERABILITY
    rows, err := database.QueryContext(ctx, fmt.Sprintf("SELECT * FROM users WHERE email = '%s' AND password = '%s'", email, password))
    if err != nil {
        return err
    }
    defer rows.Close()

    if !rows.Next() {
        return fmt.Errorf("invalid email or password")
    }

    // do something

    return nil
}

func setupDB() {
    db, err := sql.Open("sqlite3", "file::memory:?cache=shared")
    if err != nil {
        panic(err)
    }

    if _, err := db.Exec("CREATE TABLE users(id int, email text, password text);"); err != nil {
        panic(err)
    }

    if _, err := db.Exec("INSERT INTO users(id, email, password) VALUES(1, 'user@example.com', 'password');"); err != nil {
        panic(err)
    }

    database = db
}

整合Waffle防止SQL注入

讓我們整合Waffle來防止SQL注入:

$ go run .

# SQL injection attack
$ curl -i -X POST 'http://localhost:8000/login' \
    --data "email=user@example.com' OR 1=1--&password="
HTTP/1.1 200 OK
Date: Sun, 05 Jan 2025 10:32:50 GMT
Content-Length: 13
Content-Type: text/plain; charset=utf-8

Login success

修改main.go如下:

$ go get github.com/sitebatch/waffle-go

變化很?。?br> 

package main

import (
    "context"
    "database/sql"
    "errors"
    "fmt"
    "net/http"

    "github.com/sitebatch/waffle-go"
    "github.com/sitebatch/waffle-go/action"
    waffleSQL "github.com/sitebatch/waffle-go/contrib/database/sql"
    waffleHTTP "github.com/sitebatch/waffle-go/contrib/net/http"

    _ "github.com/mattn/go-sqlite3"
)

var database *sql.DB

func init() {
    setupDB()
}

func newHTTPHandler() http.Handler {
    mux := http.NewServeMux()
    mux.Handle("/login", http.HandlerFunc(loginController))

    handler := waffleHTTP.WafMiddleware(mux)

    return handler
}

func main() {
    srv := &http.Server{
        Addr:    ":8000",
        Handler: newHTTPHandler(),
    }

    // Start waffle with debug mode
    waffle.Start(waffle.WithDebug())

    srv.ListenAndServe()
}

func loginController(w http.ResponseWriter, r *http.Request) {
    email := r.FormValue("email")
    password := r.FormValue("password")

    if err := login(r.Context(), email, password); err != nil {
        var actionErr *action.BlockError
        if errors.As(err, &actionErr) {
            return
        }

        http.Error(w, err.Error(), http.StatusInternalServerError)
        return
    }

    w.Write([]byte("Login success"))
}

func login(ctx context.Context, email, password string) error {
    // ?? SQL INJECTION VULNERABILITY
    rows, err := database.QueryContext(ctx, fmt.Sprintf("SELECT * FROM users WHERE email = '%s' AND password = '%s'", email, password))
    if err != nil {
        return err
    }
    defer rows.Close()

    if !rows.Next() {
        return fmt.Errorf("invalid email or password")
    }

    // do something

    return nil
}

func setupDB() {
    db, err := waffleSQL.Open("sqlite3", "file::memory:?cache=shared")
    if err != nil {
        panic(err)
    }

    if _, err := db.Exec("CREATE TABLE users(id int, email text, password text);"); err != nil {
        panic(err)
    }

    if _, err := db.Exec("INSERT INTO users(id, email, password) VALUES(1, 'user@example.com', 'password');"); err != nil {
        panic(err)
    }

    database = db
}

現(xiàn)在,當(dāng)我們嘗試 SQL 注入攻擊時(shí),Waffle 會(huì)阻止它:

diff --git a/main.go b/main.go
index 90b8197..9fefb06 100644
--- a/main.go
+++ b/main.go
@@ -3,9 +3,15 @@ package main
 import (
    "context"
    "database/sql"
+   "errors"
    "fmt"
    "net/http"

+   "github.com/sitebatch/waffle-go"
+   "github.com/sitebatch/waffle-go/action"
+   waffleSQL "github.com/sitebatch/waffle-go/contrib/database/sql"
+   waffleHTTP "github.com/sitebatch/waffle-go/contrib/net/http"
+
    _ "github.com/mattn/go-sqlite3"
 )

@@ -19,7 +25,9 @@ func newHTTPHandler() http.Handler {
    mux := http.NewServeMux()
    mux.Handle("/login", http.HandlerFunc(loginController))

-   return mux
+   handler := waffleHTTP.WafMiddleware(mux)
+
+   return handler
 }

 func main() {
@@ -28,6 +36,9 @@ func main() {
        Handler: newHTTPHandler(),
    }

+   // Start waffle with debug mode
+   waffle.Start(waffle.WithDebug())
+
    srv.ListenAndServe()
 }

@@ -36,6 +47,11 @@ func loginController(w http.ResponseWriter, r *http.Request) {
    password := r.FormValue("password")

    if err := login(r.Context(), email, password); err != nil {
+       var actionErr *action.BlockError
+       if errors.As(err, &actionErr) {
+           return
+       }
+
        http.Error(w, err.Error(), http.StatusInternalServerError)
        return
    }
@@ -60,7 +76,7 @@ func login(ctx context.Context, email, password string) error {
 }

 func setupDB() {
-   db, err := sql.Open("sqlite3", "file::memory:?cache=shared")
+   db, err := waffleSQL.Open("sqlite3", "file::memory:?cache=shared")
    if err != nil {
        panic(err)
    }

此 HTML 是 waffle 預(yù)設(shè)回傳的錯(cuò)誤訊息,如下所示:

Introduction to Waffle: In-app WAF for Go Applications

如果使用佔(zhàn)位符:

使用佔(zhàn)位符時(shí),Waffle 會(huì)辨識(shí)出不可能進(jìn)行 SQL 注入,並且不會(huì)阻止要求:

$ curl -i -X POST 'http://localhost:8000/login' \
    --data "email=user@example.com' OR 1=1--&password=" -i
HTTP/1.1 403 Forbidden
Date: Sun, 05 Jan 2025 10:38:22 GMT
Content-Length: 1574
Content-Type: text/html; charset=utf-8

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Access Denied</title>

# Fix SQL injection vulnerability
diff --git a/main.go
b/main.go
index 9fefb06..5b482f2 100644
--- a/main.go
+++ b/main.go
@@ -60,7 +60,7 @@ func loginController(w http.ResponseWriter, r *http.Request) {
 }

 func login(ctx context.Context, email, password string) error {
-   rows, err := database.QueryContext(ctx, fmt.Sprintf("SELECT * FROM users WHERE email = '%s' AND password = '%s'", email, password))
+   rows, err := database.QueryContext(ctx, "SELECT * FROM users WHERE email = ? AND password = ?", email, password)
    if err != nil {
        return err
    }

請(qǐng)注意,即使在這種情況下,Waffle 仍然可以像基於雲(yún)端的 WAF 一樣檢測(cè)嘗試的 SQL 注入(儘管它不會(huì)阻止它):

# Waffle won't block the request since SQL injection isn't possible
$ curl -i -X POST 'http://localhost:8000/login' \
    --data "email=user@example.com' OR 1=1--&password="
HTTP/1.1 500 Internal Server Error
Content-Type: text/plain; charset=utf-8
X-Content-Type-Options: nosniff
Date: Sun, 05 Jan 2025 10:49:05 GMT
Content-Length: 26

invalid email or password

Waffle 偵測(cè)與預(yù)防的攻擊

雖然我們已經(jīng)示範(fàn)了 SQL 注入預(yù)防,但 Waffle 可以偵測(cè)並防止各種攻擊:

  • 已知安全掃描儀的偵察
  • 目錄遍歷
  • XSS
  • SQL注入
  • 敏感檔案存取
  • SSRF
  • 帳號(hào)接管

有關(guān)更多詳細(xì)信息,請(qǐng)查看規(guī)則列表文件。

規(guī)則持續(xù)更新,歡迎貢獻(xiàn)。

結(jié)論

透過將 Waffle 整合到您的應(yīng)用程式中,您可以準(zhǔn)確地偵測(cè)和預(yù)防攻擊。

特定於框架的實(shí)作指南和詳細(xì)使用說明,請(qǐng)參閱文件中的指南部分。

Waffle 正在積極開發(fā)中。我們歡迎回饋和貢獻(xiàn)。

  • https://github.com/sitebatch/waffle-go

以上是Waffle 簡(jiǎn)介:Go 應(yīng)用程式的應(yīng)用程式內(nèi) WAF的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章!

本網(wǎng)站聲明
本文內(nèi)容由網(wǎng)友自願(yuàn)投稿,版權(quán)歸原作者所有。本站不承擔(dān)相應(yīng)的法律責(zé)任。如發(fā)現(xiàn)涉嫌抄襲或侵權(quán)的內(nèi)容,請(qǐng)聯(lián)絡(luò)admin@php.cn

熱AI工具

Undress AI Tool

Undress AI Tool

免費(fèi)脫衣圖片

Undresser.AI Undress

Undresser.AI Undress

人工智慧驅(qū)動(dòng)的應(yīng)用程序,用於創(chuàng)建逼真的裸體照片

AI Clothes Remover

AI Clothes Remover

用於從照片中去除衣服的線上人工智慧工具。

Clothoff.io

Clothoff.io

AI脫衣器

Video Face Swap

Video Face Swap

使用我們完全免費(fèi)的人工智慧換臉工具,輕鬆在任何影片中換臉!

熱工具

記事本++7.3.1

記事本++7.3.1

好用且免費(fèi)的程式碼編輯器

SublimeText3漢化版

SublimeText3漢化版

中文版,非常好用

禪工作室 13.0.1

禪工作室 13.0.1

強(qiáng)大的PHP整合開發(fā)環(huán)境

Dreamweaver CS6

Dreamweaver CS6

視覺化網(wǎng)頁開發(fā)工具

SublimeText3 Mac版

SublimeText3 Mac版

神級(jí)程式碼編輯軟體(SublimeText3)

熱門話題

Laravel 教程
1597
29
PHP教程
1488
72
是Golang前端還是後端 是Golang前端還是後端 Jul 08, 2025 am 01:44 AM

Golang主要用於後端開發(fā),但也能在前端領(lǐng)域間接發(fā)揮作用。其設(shè)計(jì)目標(biāo)聚焦高性能、並發(fā)處理和系統(tǒng)級(jí)編程,適合構(gòu)建API服務(wù)器、微服務(wù)、分佈式系統(tǒng)、數(shù)據(jù)庫操作及CLI工具等後端應(yīng)用。雖然Golang不是網(wǎng)頁前端的主流語言,但可通過GopherJS編譯成JavaScript、通過TinyGo運(yùn)行於WebAssembly,或搭配模板引擎生成HTML頁面來參與前端開發(fā)。然而,現(xiàn)代前端開發(fā)仍需依賴JavaScript/TypeScript及其生態(tài)。因此,Golang更適合以高性能後端為核心的技術(shù)棧選擇。

如何在Golang中構(gòu)建GraphQl API 如何在Golang中構(gòu)建GraphQl API Jul 08, 2025 am 01:03 AM

要構(gòu)建一個(gè)GraphQLAPI在Go語言中,推薦使用gqlgen庫以提高開發(fā)效率。 1.首先選擇合適的庫,如gqlgen,它支持根據(jù)schema自動(dòng)生成代碼;2.接著定義GraphQLschema,描述API的結(jié)構(gòu)和查詢?nèi)肟冢缍xPost類型和查詢方法;3.然後初始化項(xiàng)目並生成基礎(chǔ)代碼,實(shí)現(xiàn)resolver中的業(yè)務(wù)邏輯;4.最後將GraphQLhandler接入HTTPserver,通過內(nèi)置Playground測(cè)試API。注意事項(xiàng)包括字段命名規(guī)範(fàn)、錯(cuò)誤處理、性能優(yōu)化及安全設(shè)置等,確保項(xiàng)目可維護(hù)性

如何安裝去 如何安裝去 Jul 09, 2025 am 02:37 AM

安裝Go的關(guān)鍵在於選擇正確版本、配置環(huán)境變量並驗(yàn)證安裝。 1.前往官網(wǎng)下載對(duì)應(yīng)系統(tǒng)的安裝包,Windows使用.msi文件,macOS使用.pkg文件,Linux使用.tar.gz文件並解壓至/usr/local目錄;2.配置環(huán)境變量,在Linux/macOS中編輯~/.bashrc或~/.zshrc添加PATH和GOPATH,Windows則在系統(tǒng)屬性中設(shè)置PATH為Go的安裝路徑;3.使用goversion命令驗(yàn)證安裝,並運(yùn)行測(cè)試程序hello.go確認(rèn)編譯執(zhí)行正常。整個(gè)流程中PATH設(shè)置和環(huán)

Go Sync.WaitGroup示例 Go Sync.WaitGroup示例 Jul 09, 2025 am 01:48 AM

sync.WaitGroup用於等待一組goroutine完成任務(wù),其核心是通過Add、Done、Wait三個(gè)方法協(xié)同工作。 1.Add(n)設(shè)置需等待的goroutine數(shù)量;2.Done()在每個(gè)goroutine結(jié)束時(shí)調(diào)用,計(jì)數(shù)減一;3.Wait()阻塞主協(xié)程直到所有任務(wù)完成。使用時(shí)需注意:Add應(yīng)在goroutine外調(diào)用、避免重複Wait、務(wù)必確保Done被調(diào)用,推薦配合defer使用。常見於並發(fā)抓取網(wǎng)頁、批量數(shù)據(jù)處理等場(chǎng)景,能有效控制並發(fā)流程。

去嵌入軟件包教程 去嵌入軟件包教程 Jul 09, 2025 am 02:46 AM

使用Go的embed包可以方便地將靜態(tài)資源嵌入二進(jìn)制,適合Web服務(wù)打包HTML、CSS、圖片等文件。 1.聲明嵌入資源需在變量前加//go:embed註釋,如嵌入單個(gè)文件hello.txt;2.可嵌入整個(gè)目錄如static/*,通過embed.FS實(shí)現(xiàn)多文件打包;3.開發(fā)時(shí)建議通過buildtag或環(huán)境變量切換磁盤加載模式以提高效率;4.注意路徑正確性、文件大小限制及嵌入資源的只讀特性。合理使用embed能簡(jiǎn)化部署並優(yōu)化項(xiàng)目結(jié)構(gòu)。

進(jìn)行音頻/視頻處理 進(jìn)行音頻/視頻處理 Jul 20, 2025 am 04:14 AM

音視頻處理的核心在於理解基本流程與優(yōu)化方法。 1.其基本流程包括採集、編碼、傳輸、解碼和播放,每個(gè)環(huán)節(jié)均有技術(shù)難點(diǎn);2.常見問題如音畫不同步、卡頓延遲、聲音噪音、畫面模糊等,可通過同步調(diào)整、編碼優(yōu)化、降噪模塊、參數(shù)調(diào)節(jié)等方式解決;3.推薦使用FFmpeg、OpenCV、WebRTC、GStreamer等工具實(shí)現(xiàn)功能;4.性能管理方面應(yīng)注重硬件加速、合理設(shè)置分辨率幀率、控制並發(fā)及內(nèi)存洩漏問題。掌握這些關(guān)鍵點(diǎn)有助於提升開發(fā)效率和用戶體驗(yàn)。

如何在GO中構(gòu)建Web服務(wù)器 如何在GO中構(gòu)建Web服務(wù)器 Jul 15, 2025 am 03:05 AM

搭建一個(gè)用Go編寫的Web服務(wù)器並不難,核心在於利用net/http包實(shí)現(xiàn)基礎(chǔ)服務(wù)。 1.使用net/http啟動(dòng)最簡(jiǎn)服務(wù)器:通過幾行代碼註冊(cè)處理函數(shù)並監(jiān)聽端口;2.路由管理:使用ServeMux組織多個(gè)接口路徑,便於結(jié)構(gòu)化管理;3.常見做法:按功能模塊分組路由,並可用第三方庫支持複雜匹配;4.靜態(tài)文件服務(wù):通過http.FileServer提供HTML、CSS和JS文件;5.性能與安全:?jiǎn)⒂肏TTPS、限制請(qǐng)求體大小、設(shè)置超時(shí)時(shí)間以提升安全性與性能。掌握這些要點(diǎn)後,擴(kuò)展功能將更加容易。

使用默認(rèn)情況選擇 使用默認(rèn)情況選擇 Jul 14, 2025 am 02:54 AM

select加default的作用是讓select在沒有其他分支就緒時(shí)執(zhí)行默認(rèn)行為,避免程序阻塞。 1.非阻塞地從channel接收數(shù)據(jù)時(shí),若channel為空,會(huì)直接進(jìn)入default分支;2.結(jié)合time.After或ticker定時(shí)嘗試發(fā)送數(shù)據(jù),若channel滿則不阻塞而跳過;3.防止死鎖,在不確定channel是否被關(guān)閉時(shí)避免程序卡??;使用時(shí)需注意default分支會(huì)立即執(zhí)行,不能濫用,且default與case互斥,不會(huì)同時(shí)執(zhí)行。

See all articles