go这么好用的pprof包却引发了安全漏洞?规避pprof自动注册默认url

VIP文章 已于 2023-12-13 13:52:10 修改
阅读量3.5k 收藏 28
点赞数 22
文章标签: golang 开发语言 后端 pprof
于 2023-12-06 15:31:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/orlobl/article/details/134832941
版权

文章目录

背景介绍

最近项目在线上被检测出有pprof有漏洞,原因是产品对外暴露的端口,可以通过http://ip:prot/debug/pprof/profile,获取到代码的堆栈信息,视为不安全的。

问题分析

之所以pprof信息不安全,这要从go的net/http/pprof包的设计来讲。

pprof作为一个非常方便的性能检测工具,基本go服务都会默认开启它,

而pprof在使用方面也是非常简单的,只需要包含net/http/pprof,并且开启一个http监听

go func() {
   
		log.Println(http.ListenAndServe("localhost:6060", nil))
	}()

即可帮你打包注册pprof的url

在这里插入图片描述

但是漏洞也就出在这个简单易用上,

由于net/http/pprof包中直接在init函数中帮你注册了pprof的这些资源url。导致,只要你包含了这个包,这些url就会被自动被注册。且url不可变,也就导致只要你包含了net/http/pprof,又用http.ListenAndServe起了httpserver,就会导致pprof堆栈被信息的泄露。

同时源码还有个坑:
在init函数中明明只有5个接口,为什么
在这里插入图片描述
查出来却有9个
因为其他的接口在Index中,而这些接口也同样被绑死在了默认url上
在这里插入图片描述
因此如果要避免这些接口的漏洞,则需要显式修改

解决方案

1.起一个新的http server,不使用默认对象

package main

import (
	"fmt"
	"log"
	"net/http"
	"net/http/pprof"
)

func main() {
   
	mux := http.NewServeMux()
	prefix := "/test/debug/pprof"
	mux.Handle(prefix+"/", http.HandlerFunc(pprof.Index<
最低0.47元/天 解锁文章
OrangeLBlue
关注
  • 22
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
go使用gopprof分析内存泄露
网易搬砖选手
02-03 456
go tool pprof http://127.0.0.1:8099/debug/pprof/heap 或者直接在浏览器里输入 http://127.0.0.1:8099/debug/pprof/heap。-diff_base:提供两个 profile 文件比较,显示的百分比是基于第一个 profile 统计的数量。这里先说第一种方式,命令行很方便,假设我的服务是8099端口的一个本地服务,我就直接使用。然后运行你的服务,这样你有两种方式来获取你的堆栈申请释放信息,一种是在命令行里输入。
node-exporter-rule.yml
09-14
prometheus基于linux服务器的监控告警规则,部分进行了汉化
Go 实战Go内存泄漏,pprof定位内存泄漏问题
Mark66890620
03-28 7390
引言: 最近解决了我们项目中的一个内存泄露问题,事实再次证明pprof是一个好工具,但掌握好工具的正确用法,才能发挥好工具的威力,不然就算你手里有屠龙刀,也成不了天下第一,本文就是带你用pprof定位内存泄露问题。 关于Go的内存泄露有这么一句话不知道你听过没有: 10次内存泄露,有9次是goroutine泄露。 我所解决的问题,也是goroutine泄露导致的内存泄露,所以这篇文章主要介绍Go程序的goroutine泄露,掌握了如何定位和解决goroutine泄露,...
漏洞修复】node-exporter被检测出来pprof调试信息泄露漏洞
热门推荐
Meepoljd的博客
06-09 1万+
大概意思是开发者并没有发现pprof会泄漏啥信息,issue提出者使用的是gosec工具做的静态安全扫描,可能产生很多编译期间的误报,然后社区达成一致的结论是和prometheus社区保持一致,转而使用codeql工具。如果实在要解决就按照本文章进行
C/C++探究---内存泄漏
现从事游戏开发领域 | 团队项目be_with开发进行中 web方向感兴趣者私 ——We can do all things.
01-03 5726
1. 什么是内存泄漏 内存泄漏:指因为疏忽或错误造成程序未能释放已经不再使用的内存的情况。内存泄漏并不是指内存在物理上的消失,而是应用程序分配某段内存后,因为设计错误,失去了对该段内存的控制,因而造成了内存的浪费。 看一段代码: void MemoryLeaks() { // 1.内存申请了忘记释放 int* p1 = (int*)malloc(sizeof(int)); int* p2 ...
prometheus涉及pprof go信息泄露漏洞整改
abin的博客
09-06 4271
本文记录一下对系统渗透测试后反馈Prometheus涉及pprof go信息泄露,验证方法为http://ip:port/debug/pprof
一个golang pprof端口暴露问题
teatoo的博客
05-30 739
经测试,在9999和8999端口上,都能够访问/debug/pprof/,当然也同时可以访问/status。意思就是如果你用net/http启动多个服务,那每个服务下面的uri都是可以在所有端口上访问的。当程序上线以后,配置文件中pprof的开关时关闭的,pprof端口A也没有启动,但做安全扫描的时候,发现在在端口B也发现了/debug/pprof/也可以访问。同一个程序还使用net/http启动了另外一个http服务在端口B。这里会在每个net/http启动的http服务里面注入pprof相关的服务。
Go net/http/pprof 分析内存泄露及解决方法
rgc_520_zyl的博客
09-05 2485
使用pprof分析解决go语言中内存泄露的过程
漏洞复现】Kubernetes PPROF内存泄漏漏洞(CVE-2019-11248)
晚风不及你
01-16 1954
Kubernetes(简称K8S)是Google在2014年开源的一个容器集群管理系统。它用于容器化应用程序的部署、扩展和管理,目标是让部署容器化应用简单且高效。
EasyCVR平台安全扫描提示Go pprof调试信息泄露的解决办法
TSINGSEE青犀视频官方技术博客
07-21 1506
EasyCVR部署简单、兼容性高,平台采用分布式部署,可对外提供统一的API接口,实现连接设备、连接数据、连接应用,便于第三方平台快速集成。
使用pprof分析golang内存泄露问题
陈旭猿的博客
03-07 1793
pprof解决线上golang程序内存泄露问题
pprof-ebpf:使用ebpf生成pprof格式配置文件的探查器
05-11
pprof-ebpf 使用ebpf的探查器,可生成pprof格式的探查文件 要求 Linux内核> = 4.9 llvm> = 3.8 密件抄送 高朗> = 1.6 安装 去做 用法 去做
Go pprof内存指标含义备忘录及案例分析
09-17
主要介绍了Go pprof内存指标含义备忘录问题,小编特此把问题及案例分享到脚本之家平台供大家学习,需要的朋友可以参考下
golang利用pprof与go-torch如何做性能分析
09-20
主要给大家介绍了关于golang利用pprof与go-torch如何做性能分析的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
pprof:杜松子酒pprof中间件
05-13
pprof 杜松子酒pprof中间件 pprof通过其HTTP服务器运行时性能分析数据提供pprof可视化工具所需的格式。 用法 开始使用它 下载并安装: go get github.com/gin-contrib/pprof 将其导入您的代码中: import "github.com/gin-contrib/pprof" 例子 package main import ( "github.com/gin-contrib/pprof" "github.com/gin-gonic/gin" ) func main () { router := gin . Default () pprof . Register ( router ) router . Run ( ":8080" ) } 更改默认路径前缀 func main () { router := gin . De
go-leak:检测Go中的各种泄漏
05-02
泄漏 Go的std软件当前不括泄漏检测。 go-leak是一个软件,可以帮助您发现代码中的泄漏。 如果您对如何改进此软件有任何想法或对它有任何疑问,请通过。 注意:此软件不再起作用。 它适用于我使用较旧的Go版本的某些用例,但对于> = 1.4,则根本不起作用。 我在TODO上拥有它来重做整个事情并添加更多用例,但是我首先需要做一些其他开源项目。 因此,如果您有空余时间想发送邮件给我或在项目的跟踪器中提交问题。 注意:由于Go的作用域很广,因此必须避免使用与标记和释放调用相同作用域的新变量。 例行程序 如果您想知道某个函数是否泄漏goroutine: leaks := leak . GoRoutineLeaks ( foo ) if leaks > 0 { panic ( "foo is leaking!" ) } 如果您想知道代码是否泄漏了goroutines:
Go程序性能优化及pprof使用方法详解
09-21
主要为大家详细介绍了Go程序性能优化及pprof的使用方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
tempfile:go 团队的 pprof tempfile 的 fork 创建大量文件时效率更高,golang
06-02
它是从 go 团队的 pprof tempfile 中分叉出来的,但有一些增强功能,可以在要创建大量文件时提高效率。 原始对要创建的初始文件名做出了错误的选择,因此创建的每个附加文件都比上一个要花费更长的时间。 十几...
沪深websocket level2/level1行情推送接入示例
最新发布
04-28 383
【代码】沪深websocket level2/level1行情推送接入示例。
Go pprof 调试信息泄露漏洞
08-19
您好!对于Go pprof调试信息泄露漏洞,我可以给您一些基本的解释和建议。 Go语言的pprof工具是用于性能分析和调试的强大工具,但在某些情况下,它可能会泄漏敏感信息,例如堆栈跟踪和函数调用信息。这可能会导致安全风险,因为攻击者可以利用这些信息来了解您的应用程序的内部结构和运行情况。 为了防止pprof调试信息泄露漏洞,您可以考虑以下几点: 1. 保护pprof接口:默认情况下,pprof接口是公开的,任何人都可以访问。您可以通过在应用程序中配置身份验证和授权机制来限制对pprof接口的访问。例如,您可以使用基本身份验证或令牌验证来确保只有授权用户可以访问pprof接口。 2. 隐藏敏感信息:在pprof接口返回的数据中,可能含敏感信息,如函数名称、文件路径等。您可以通过在编译时使用`-trimpath`选项来删除源代码路径,并使用`-gcflags="-N"`选项来禁用内联函数优化,以减少泄漏的敏感信息。 3. 限制pprof使用场景:如果您不需要在生产环境中使用pprof,可以考虑禁用pprof接口或仅在开发和测试环境中启用它。这样可以减少潜在的泄漏风险。 4. 定期更新和监控:及时更新您的Go语言版本和相关依赖,以获取最新的安全修复和漏洞修复。同时,定期监控应用程序日志和网络流量,以检测任何异常活动和潜在的信息泄露。 请注意,这些只是一些基本的建议,具体措施需要根据您的应用程序和安全需求进行评估和实施。如果您发现了pprof调试信息泄露漏洞或其他安全问题,建议您及时报告给Go语言社区或相关漏洞报告平台,以便修复和改进。 希望以上信息能对您有所帮助!如果您有任何其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

OrangeLBlue

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值