开发人员注意:速修复这个严重的 Fiber Go 漏洞!

最新推荐文章于 2024-08-16 22:53:21 发布
最新推荐文章于 2024-08-16 22:53:21 发布
阅读量74 收藏
点赞数
文章标签: golang 开发语言 后端
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247518905&idx=1&sn=d78b42cf79ea9e1666eb0759db2961cb&chksm=eb70f29348d8791eb2c423f2dc8c89273765c363dce6e5c4febbf7ab5d06c14bec77c7110db7&scene=126&sessionid=0
版权
FiberGo框架存在CORS配置漏洞CVE-2024-25124,可能导致越权数据访问和安全风险。使用Fiber2.52.1之前版本的开发者需尽快升级并审计CORS配置,避免使用通配符Origin(*)和启用凭据。
摘要由CSDN通过智能技术生成

8fc2c3922503d083b9155c593d7dded6.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

使用 Fiber Go web 框架的开发人员应立即修复位于中间件 CORS 中的一个严重漏洞CVE-2024-25124(CVSS评分9.4)。该漏洞是因为在同步启用凭据时允许CORS 配置中出现通配符Origin (“*”) 导致的。

06ef98a4577a68bca170056bd0908acd.png

Fiber 是基于 Go 语言开发的快速、灵活且高性能的 web 框架,基于快速的HTTP 路由器和高性能的HTTP处理程序。

5ef0a61a56c14dacbb47fee1308e8af5.png

权限过度的CORS

CORS 是一种重要的机制,使 web 应用能够在不同域名之间安全地共享资源。错误配置 CORS 可为攻击者带来机会。CVE-2024-25124 的问题在于结合通配符 Origin (“*”) 与已启用的凭据的设置,这种组合违反了 web 安全最佳实践并可导致:

  • 越权数据访问:敏感的用户信息可被泄露给恶意网站。

  • 跨站点请求伪造 (CSRF):攻击者可诱骗用户在 web app 上执行有害操作。

  • 其它web利用:为大量基于 web 的攻击创造启动面板。

安全公告提到,“CORS 中间件可允许不安全的配置,从而可能将应用暴露到多个与CORS关联的漏洞。具体而言,该漏洞可为通配符(“*”)设置 Access-Control-Allow-Origin 标头,同时将 Access-Control-Allow-Credentials 设置为真,这与所建议的安全最佳实践相悖。”

067444b27ff979f61d125bbe51f753b2.png

受影响版本

使用 Fiber 2.52.1之前版本的任何应用均易受攻击。如果不确定所使用版本情况,则应立即升级。

  • 升级:修复方案已在 Fiber 2.52.1及后续版本中推出。

  • 人工审计:查看现有的 CORS 配置。在启用凭据时不要允许使用通配符origin (“*”),确保CORS配置的安全。

  • 安全最佳实践:熟悉CORS安全配置实践。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

GitHub 上的1.5万个 Go 模块仓库易受 repojacking 攻击

ParseThru:多款Go应用中出现HTTP参数走私缺陷

找到恶意软件包:Go 语言生态系统中的供应链攻击是怎样的?

原文链接

https://securityonline.info/urgent-alert-for-developers-fix-the-critical-fiber-go-cve-2024-25124-vulnerability-now/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

75dc14f6d4b1f7ef0b1370107f38e269.jpeg

ccf4ed5366a85faefd9e73e95570a6bd.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   139f3b2d118320425ef9c06ed35c2e4f.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
go-fiber-booksapi:Go Lang + Fiber V2框架的测试区域
02-14
在这个场景中,我们关注的是一个名为“go-fiber-booksapi”的项目,它利用了Go语言Fiber V2框架来构建一个API服务。Fiber是基于Gin框架的轻量级、高性能的Web服务器,专为快开发API和Web应用而设计。 1. **Go...
:high_voltage:Fiber是一个用:hot_beverage:Go编写的Express启发式Web框架-Golang开发
05-26
Fiber是一个基于Expressjs的Web框架,它基于Go最快的HTTP引擎Fasthttp之上。 旨在简化零内存分配和性能的情况,以便快开发。 :high_voltage:Quick Fiber是一个基于Expressjs的Web框架,建立在Fasthttp(Go最快的...
Go: 微服务框架 Fiber 简介与实践
GIS摆渡人
11-18 3324
Maintainable 可维修Testable 可测试的Loosely coupled 松散耦合的Independently deployable 可独立部署Owned by a small team 由一个小团队拥有微服务体系结构是一种应用程序架构,其中应用程序被开发为服务集合。它提供了独立开发,部署和维护微服务架构图和服务的框架。上图显示了微服务体系结构的样子。请注意,所有微服务都通过与客户端通信的 API 网关连接。
适合前端入门的Go语言开发框架fiber
weixin_45969116的博客
01-26 4200
适合前端入门的GO 开发框架
go-fiber入门示例
学亮编程手记
05-19 223
最后,我们启动Fiber服务并监听在端口3000上。如果出现任何错误,我们将抛出一个异常。启动成功后,我们可以通过在浏览器中访问http://localhost:3000来测试我们的应用程序。该示例中,我们首先创建了一个Fiber实例,并定义了一个路由。当用户访问网站根目录时,会调用回调函数并向客户端发送一个包含“Hello, World!”字符串的HTTP响应。
Fiber GolangGolang中的强大Web框架
csjds的专栏
10-22 582
在本文中,我们将深入了解Fiber的世界,探讨其独特的特性,并理解为什么它在Go生态系统中引起了如此大的关注。
使用Golang Fiber框架构建高性能Web应用
hitpter的专栏
11-03 779
Fiber是一个基于Golang的开源Web框架,它的目标是提供快和高性能的Web开发体验。Fiber框架拥有简洁的API设计和高度优化的底层实现,使得开发人员能够在保持高效率的前提下构建出高性能的Web应用。
go_BookAPI:使用Fiber Web开发框架使用Go设计Book API
04-02
**Go语言Fiber Web开发框架** Go(Golang)是一种由Google开发的开源编程语言,以其简洁的语法、高效的性能以及内置并发...通过实践这个项目,你将能够掌握Go语言在Web开发中的应用,并对Fiber框架有深入的理解。
alist_fiber:一款基于go + vue的阿里云盘项目https
03-25
最近学习go语言的过程中,最大的感触是语法虽然少但是但是上手比较困难,正好看到这个项目,采用前拆分分离开发,前端vue +替代go语言用的gin框架。所以,为了让自己掌握语言,我使用go语言最新的fiber框架进行了...
cljs-react-three-fiber:ClojureScript port-react-fiber-fibers的三个示例
05-14
这个示例应用是对的重写工作正在进行中这个项目是我花时间学习一些现代JS知识和最新的CLJS工具的一个很好的借口:初始设置git clone ...cljs watch app 然后: 等待编译完成访问位于开发服务器发布工作流程yarn ...
Fiber:用Go编写的Express启发式Web框架-开源
05-14
一个用Go语言编写的受Express启发的Web框架。 Fiber是一个基于Fasthttp(Go最快的HTTP引擎)构建的Go Web框架。 它旨在简化零内存分配和性能的情况,以便快开发。 为您的应用程序设置路由从未如此简单! 类似Express的路线定义易于理解和使用。 通过定义静态路由轻松地为您的静态HTML,CSS和JavaScript文件提供服务。 您也可以在同一路径上提供多个目录的内容! 由于Fiber建立在Fasthttp之上,因此您的应用程序将享受无与伦比的性能! 不相信我们吗? 这是一个基准,可以证明Fiber与其他框架相比如何发光。 您正在构建API服务器吗? 我们已经覆盖了您! Fiber是在Go中构建REST API的理想选择。 接收和发送数据既快又简单!
Fiber:用 Go 编写的 Express 启发式 Web 框架-开源
08-08
用 Go 编写的受 Express 启发的 Web 框架。 Fiber 是一个构建在 Fasthttp 之上的 Go Web 框架,Fasthttp 是 Go 最快的 HTTP 引擎。 它旨在通过考虑零内存分配和性能来简化快开发。 为您的应用程序设置路由从未如此简单! 类似 Express 的路由定义易于理解和使用。 通过定义静态路由,轻松提供静态 HTML、CSS 和 JavaScript 文件。 您还可以在同一路由上提供多个目录的内容! 由于 Fiber 建立在 Fasthttp 之上,您的应用程序将享受无与伦比的性能! 不相信我们? 这是一个基准测试,它证明了 Fiber 与其他框架相比的优势。 您正在构建 API 服务器吗? 我们已为您提供保障! Fiber 是在 Go 中构建 REST API 的完美选择。 接收和发送数据既快又简单!
Fiber框架:高性能的Web应用开发利器
爱编程的鱼的博客
01-18 782
Fiber是一个基于Go语言开发的轻量级Web框架,旨在提供快、灵活和易用的Web应用开发体验。它基于快的HTTP路由器和高性能的HTTP处理程序,具有低内存占用和极低的延迟。Fiber框架作为一个高性能、灵活且易用的Web框架,为Go语言开发者提供了构建高性能Web应用的利器。它的特点和优势使得开发者能够以简单、高效的方式处理大量并发请求,并实现低延迟的响应。如果你正在寻找一个强大而高效的Go语言Web框架,Fiber是一个值得考虑的选择。
探索 Fiber:一个超快的Go Web框架
gitblog_00079的博客
04-27 394
探索 Fiber:一个超快的Go Web框架 项目地址:https://gitcode.com/gofiber/awesome-fiber开发Web应用时,性能和易用性是我们经常追求的目标。Fiber是一个基于Go语言的微框架,它提供了一种简洁、高性能的方式来构建现代Web服务。如果你还没听说过Fiber,那么现在是时候了解并加入到这个高效能的开发行列了。 项目简介 Fiber 是基于 Fa...
Go Web框架解析【一】:Fiber
weixin_49023800的博客
08-03 1073
Go Fiber是一个轻量级的Web框架,专注于提供快、灵活和高性能的HTTP处理。它基于Go语言的Fasthttp服务器引擎构建,因此具有出色的性能和低内存消耗。同时Fiber的路由树是线性的路由栈,所以Fiber路由支持路径的正则匹配,相对gin、go-zero更加灵活。fasthttp 是为一些高性能边缘情况而设计的。除非您的服务器/客户端需要每秒处理数千个中小型请求,并且需要一致的低毫秒响应时间,否则 fasthttp 可能不适合您。
使用Fiber构建高性能Go Web应用的模板
gitblog_00083的博客
05-17 372
使用Fiber构建高性能Go Web应用的模板 fiber-go-template???? Production-ready backend template with Fiber Go Web Framework for Create Go App CLI.项目地址:https://gitcode.com/gh_mirrors/fi/fiber-go-template 在这个数字化的时代,快、可靠...
使用Go Fiber构建微服务
西京刀客
03-28 2323
使用Go Fiber构建微服务 Building microservices in Go with Fiber Fiber仓库:https://github.com/gofiber/fiber Written by Subha Chanda✏️ 作者: Subha
go Web框架-gofiber/fiber
qq_40530622的博客
08-28 2698
package server import ( "github.com/gofiber/fiber" "git.shining3d.com/cloud3d/gapidoc/log" ) // 把HTML字符串在浏览器中显示解析HTML后的内容,而不是输出HTML标签 func staticHtml(c *fiber.Ctx) { if c.Path() == "/" || c.Path() == "" || c.Path() == "/index.html" { ht := `<!DO
Golanggolang安装一些依赖包时总是失败
最新发布
youngwhz1的专栏
08-16 256
/windows环境(不设置GO111MODULE为on也可以下载成功,是因为默认开启)export GOPROXY="https://goproxy.cn,direct" # 代理仓库配置。镜像站点中,direct可以指示Go回源到模块版本的源地址去抓取,比如github。(1)默认GOPROXY=https://proxy.golang.org,direct,国内无法访问。比如安装gin包:go get -u github.com/gin-gonic/gin。//windows环境设置代理。
boost::fibers::fiber
12-06
它可以通过创建一个可执行对象来创建一个协程,这个可执行对象可以是一个函数、一个函数对象或一个lambda表达式。可以使用boost::fibers::fiber的构造函数来创建一个协程,并在必要时使用join或detach方法来控制协程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值