Google 孵化了 3 個 Go 安全庫，推薦使用！

大家好，我是煎魚。

Google 作爲一家用戶體量很大的企業，有非常多的產品，經常會被黑客攻擊或被拿來練手。

因此其設計的產品、編程語言、工具庫等都會要求考慮安全性相關的內容。例如：各種供應鏈攻擊、CWE 等安全的查缺補漏等。

我們作爲用戶（使用者），可以 “白嫖” 這些功能實現。直接複用在自家的業務上就可以了。這樣每年在護網上都能省不少勁。

三個 Go 安全庫

本次 Google 輸出了三個新的 Go 開源庫，能夠提供安全、高效的解決方案。接下來會給大家分享安全庫官方的一些案例和設計思路、方向。

本次介紹涉及如下幾個庫：

• SafeText[1]：用於 YAML 和 shell 命令模板，指的是對標 text/template 的安全增強。

• SafeOpen[2]：用於打開目錄中的文件，指的是對標 os.Open 等的安全增強。

• SafeArchive[3]：用於處理歸檔文件，指的就是壓縮文件的處理，對標 archive/tar 和 archive/zip 等的安全增強。

解決了什麼問題

這些庫經過精心設計，可應對常見的安全攻擊，可以防範 CWE TOP25 中的以下弱點：

• #5 CWE-78[4]：操作系統命令中使用的特殊元素中和不當（操作系統命令注入）。

• #6 CWE-20[5]：特殊情況下，輸入驗證不當。

• #8 CWE-22[6]：對受限目錄的路徑名限制不當（路徑遍歷）。

這幾個 Safe 系列庫提供了強大的保護機制。只要使用這幾個庫，即使輸入是由攻擊者輸入的，也能以無漏洞的方式執行這些基本的系統操作。

庫使用和案例

SafeText

SafeText 庫，是 2023 年初發布的第一個安全庫的家族成員。

Google 要創造這一庫的原因是：內部在使用 text/template 做開發基於 YAML 的應用程序時，經常受到 YAML 注入的攻擊。

YAML 模板

SafeText 庫被設計爲 text/template 的直接替代品。我們可以用它來處理 YAML 模板，就像使用 text/template 一樣。

兩者不同的地方是：當檢測到注入時，SafeText 庫會返回錯誤。

以下是例子，假設模板如下：

---
sensitive: data
innocent: "{{ .input}}"

當使用 text/template 時，如果攻擊者控制了 .input 的值，他們就可以注入換行符，覆蓋其他字段或更改文檔結構。

根據不同的使用情況，影響可能是嚴重的。例如：當變更的結果被用作生產系統的配置文件時。

如果是使用 SafeText 庫時，SafeText 將返回錯誤信息：YAML Injection Detected,，並阻止這類可能的侵入式攻擊。

Shell 命令模板

在該庫原有 YAML 功能的基礎上，Safe 庫還增加了對 shell 命令模板的支持。

設計上考慮的是：確保輸入字符串不會被注入額外的命令或標誌，而不考慮潛在的錯誤轉義。（保證安全，接受部分錯誤的可能）

以下是例子，假設易受攻擊如下：

result := fmt.Sprintf("git commit -m %s", message)

如果信息變量受攻擊者控制，且連接字符串在某個時刻被執行，那麼這就是一個漏洞。

根據攻擊的具體執行情況，操作系統命令或可執行文件（本例中爲 git cli）的參數都可能被注入。

如果使用 Safe 庫提高的 shsprintf 系列函數，例如：

message := "`腦子進煎魚了...`"
result, err := shsprintf.Sprintf("git commit -m %s", message)

或是：

message := "`煎魚進腦子了`"
result := shsprintf.MustSprintf("git commit -m %s", shsprintf.EscapeDefaultContext(message))

兩個例子都能檢測到注入嘗試。第一個會返回錯誤，第二個則會引起恐慌。可以有效起到防護的作用。

SafeOpen

SafeOpen 庫的設計目的是：防止路徑遍歷攻擊，它通過提供在基本目錄內打開文件的函數來實現這一目的。

其原理很簡單：需要你指定一個受信任的根目錄，該庫就會強制要求文件操作不能超出該目錄。

保護的緣由是：當要打開的文件路徑名受攻擊者控制（這意味着它可能包含 ./ 路徑組件）或根目錄 "不乾淨"（例如它包含符號鏈接）時，它就能提供強大的保護，因爲無法跨過你所指定的目錄範圍。

SafeOpen 庫的使用例子，如下代碼：

rootDir:= "/data"
f, err := safeopen.OpenBeneath(rootDir, userInput)
if err != nil {
    t.Fatalf("OpenBeneath(%q, %q) error: %v", rootDir, userInput, err)
}
// ... use f as an *os.File just like before

該庫對標以下幾個函數：

• os.Open

• os.OpenFile

• os.Create

• os.ReadFile

• os.WriteFile

SafeArchive

SafeArchive 庫的設計目的是：防止路徑遍歷攻擊（又稱 zip slip）以及與處理歸檔文件相關的各種攻擊。

該庫可直接替換 Go 標準庫中的的 archive/tar 和 archive/zip，直接換包的導入路徑就可以了。使用後，壓縮包中如果包含惡意信息，發現後將會被清除。

例子如下：如果該庫遇到包含惡意條目 ./././././etc/cron.daily/cronjob 的 .zip 文件，該庫會清理該名稱，並返回爲乾淨的 etc/cron.daily/cronjob。

代碼如下：

tr := tar.NewReader(buf)
tr.SetSecurityMode(tr.GetSecurityMode() | tar.SanitizeFileMode | tar.DropXattrs)

另外還支持了許多額外保護措施，例如：跳過特殊文件、淨化文件權限、淨化文件名、防止通過符號鏈接進行遍歷等；

代碼如下：

tr.SetSecurityMode(tar.MaximumSecurityMode)

又或是：

tr.SetSecurityMode(tr.GetSecurityMode() &^ tar.SanitizeFileMode)

總結

這三個安全庫 SafeText、SafeOpen、SafeArchive 是非常典型的代表類別，通過這幾個庫我們可以從解決一些漏洞類的問題。

根據庫作者的闡述，這些庫在 Google 內部被廣泛使用。如果大家在業務項目中，也有明確的安全要求，推薦大家學習和使用！

參考資料

[1]

SafeText: https://github.com/google/safetext

[2]

SafeOpen: https://github.com/google/safeopen

[3]

SafeArchive: https://github.com/google/safearchive

[4]

CWE-78: https://cwe.mitre.org/data/definitions/78.html

[5]

CWE-20: https://cwe.mitre.org/data/definitions/20.html

[6]

CWE-22: https://cwe.mitre.org/data/definitions/22.html

本文由 Readfog 進行 AMP 轉碼，版權歸原作者所有。
來源：https://mp.weixin.qq.com/s/IOe036O20y7OW9cSeL-5UQ