近来比赛中越来越多的go题目,所以最近在学习go方面的一些知识点,恰巧看到P神的讲到这个go语言的一些特性,这里简单复现一些并做一些记录。
go语言的安全性相较于其他语言来说要安全很多,这对安全人员来说也是更大的挑战,从语言设计或者生态的角度来看好像很难找到服务端上的独特问题,导致Go安全通常还是在看一些SQL注入、命令执行、越权等传统通用漏洞。
那么这里我们会发现一个go语言的特性,在一些地方会导致一些问题的产生。
在go语言中他对于“空值"有着他和其他语言不同的设计方法,我们来看一个案例。
python
php
这里我们看到在弱语言中我们删除变量后变量就不存在了,那么在一些强类型的语言中,我们声明一个变量如果不给他赋值,他会给一个null值,或者直接未初始化无法使用。
java
但是在go中,如果我们声明一个变量,那么他就会给这个变量一个0值。
那么发现这个特性后我们思考会引发什么问题,这里我们看到Gorm这个地方的例子。
package web
import (
"github.com/gin-gonic/gin"
"gorm.io/gorm"
)
var DB *gorm.DB
type UserTab struct {
gorm.Model
Email string `json:"email" gorm:"column:email;not null;type:varchar(128);unique;size:128;"`
Token string `json:"token" gorm:"column:token;index;type:varchar(16);default:null;"`
}
func UserHandler(c *gin.Context) {
token := c.Query("token")
user, err := UserFirst(&UserTab{Token: token})
if err != nil {
c.Status(404)
return
}
c.JSON(200, gin.H{
"user": user,
})
}
func UserFirst(query *UserTab) (*UserTab, error) {
var user UserTab
err := DB.Where(query).First(&user).Error
return &user, err
}
模拟了一个根据Token查询用户的功能。其中每个用户都会有一些随机生成的字符串Token,预访问后面的功能需要先校验请求包里的Token对应的用户身份。
这是一个常见的功能,我们可以把这个Token理解为session_id或其他任何什么用户身份标识。但是,我在使用下面这个查询语句查找用户之前,一定要先判断token的值是否为空:
DB.Where(&User{Token: token}).First(&user).Error
Gorm支持使用一个数据库Model指针的形式生成查询语句,比如&User{Token: token},在token的值不为空时,生成的SQL语句将会是:
SELECT * FROM `user` WHERE `token` = 'your-token' LIMIT 1
但是,由于Go这门语言本身对于“零值”的设计,他是无法区分某个结构体中某个字段是否有被赋值过。
如果User结构体的token字段本身是一个字符串类型的属性,在初始化User对象的时候Token属性将会拥有一个默认的零值,空字符串;如果此时用户传入的token也是一个空字符串,其赋值给Token属性的时候,对于这个User对象的值将不会有任何改变。
那么此时Gorm的Where函数接收到这样一个User对象的时候,它内部是无法分辨这个对象是根本没有给Token设置任何值,还是给它设置的是空字符串。所以它在生成SQL语句的时候将不会为Token生成条件语句:
SELECT * FROM `user` LIMIT 1
这样就会导致上面这条ORM语句查询到数据库里第一个用户,而通常第一个用户都是管理员,这也可能导致一次比较高危的越权。 Go无法区分一个结构中属性是没有被初始化过,还是被初始化但赋了零值,这个问题也是Go语言设计中一个比较常见的问题。抛开这次的问题,我们如果作为开发者,要区分这两者通常只能将结构体中的字段设置成一个指针,并通过判断字符是不是nil来判断是否被初始化过。
refer
原文始发于微信公众号(山石网科安全技术研究院):Go语言特性引发的安全问题的思考
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论