文章目录

背景介绍

问题分析

解决方案

背景介绍

最近项目在线上被检测出有pprof有漏洞,原因是产品对外暴露的端口,可以通过http://ip:prot/debug/pprof/profile,获取到代码的堆栈信息,视为不安全的。

问题分析

之所以pprof信息不安全,这要从go的net/http/pprof包的设计来讲。

pprof作为一个非常方便的性能检测工具,基本go服务都会默认开启它,

而pprof在使用方面也是非常简单的,只需要包含net/http/pprof,并且开启一个http监听

go func() {

log.Println(http.ListenAndServe("localhost:6060", nil))

}()

即可帮你打包注册pprof的url

但是漏洞也就出在这个简单易用上,

由于net/http/pprof包中直接在init函数中帮你注册了pprof的这些资源url。导致,只要你包含了这个包,这些url就会被自动被注册。且url不可变,也就导致只要你包含了net/http/pprof,又用http.ListenAndServe起了httpserver,就会导致pprof堆栈被信息的泄露。

同时源码还有个坑: 在init函数中明明只有5个接口,为什么 查出来却有9个 因为其他的接口在Index中,而这些接口也同样被绑死在了默认url上 因此如果要避免这些接口的漏洞,则需要显式修改

解决方案

1.起一个新的http server,不使用默认对象

package main

import (

"fmt"

"log"

"net/http"

"net/http/pprof"

)

func main() {

mux := http.NewServeMux()

prefix := "/test/debug/pprof"

mux.Handle(prefix+"/", http.HandlerFunc(pprof.Index<

参考阅读

评论可见,请评论后查看内容,谢谢!!!
 您阅读本篇文章共花了: