Web 應用程式防火牆 (WAF) 長期以來一直是保護 Web 應用程式的標準安全解決方案。 AWS WAF 和 Cloudflare WAF 等基於雲端的 WAF 由於易於實施而特別受歡迎。然而,它們也面臨一些挑戰:
為了應對這些挑戰,一種稱為應用內 WAF 或 RASP(運行時應用程式自我保護)的新方法正在引起人們的注意。
在這篇文章中,我將介紹 Waffle,一個用於將應用程式內 WAF 功能整合到 Go Web 應用程式中的程式庫。
應用程式內 WAF/RASP 並不是要取代現有的雲端 WAF,而是透過將 WAF 功能直接嵌入到您的應用程式中來補充它們,以增強保護。
它可以處理常見的 Web 應用程式攻擊,例如 SQL 注入和 XSS,以及應用程式業務邏輯攻擊,例如撞庫和暴力嘗試。
主要優勢是透過完整的請求上下文感知來準確檢測和預防。
考慮這個用於建立部落格文章的 HTTP 請求:
POST /blog/post HTTP/1.1
...
{
"title": "What is SQL ?"
"body": "SQL example code: `SELECT * FROM users` ..."
}
如果您的應用程式使用佔位符來安全地建構 SQL 語句,則 SQL 注入是不可能的。但是,依賴模式匹配的基於雲端的 WAF 會阻止此請求,因為它包含可疑的類似 SQL 的模式(字串 SELECT * FROM 會引發 SQL 注入問題)。
開發人員經常發現自己需要繁瑣地調整參數、端點或 WAF 規則來減少這些誤報。好麻煩的任務啊!
相較之下,應用內 WAF / RASP 可以理解請求上下文。它可以識別何時未使用佔位符,並且僅在「實際上可能發生 SQL 注入」時阻止攻擊。這種情境感知方法可以減少誤報,甚至可以幫助緩解零日漏洞。
Waffle 是一個在 Go Web 應用程式中啟用應用程式內 WAF / RASP 功能的函式庫。
讓我們看看如何將 Waffle 整合到您的應用程式中以及它如何防止攻擊。
雖然此範例使用標準函式庫的 net/http,但 Waffle 也支援其他函式庫,例如 Gin 和 GORM。
有關更多詳細信息,請查看支援的庫文檔。
以下應用程式在 /login 端點中存在 SQL 注入漏洞:
POST /blog/post HTTP/1.1
...
{
"title": "What is SQL ?"
"body": "SQL example code: `SELECT * FROM users` ..."
}
package main
import (
"context"
"database/sql"
"fmt"
"net/http"
_ "github.com/mattn/go-sqlite3"
)
var database *sql.DB
func init() {
setupDB()
}
func newHTTPHandler() http.Handler {
mux := http.NewServeMux()
mux.Handle("/login", http.HandlerFunc(loginController))
return mux
}
func main() {
srv := &http.Server{
Addr: ":8000",
Handler: newHTTPHandler(),
}
srv.ListenAndServe()
}
func loginController(w http.ResponseWriter, r *http.Request) {
email := r.FormValue("email")
password := r.FormValue("password")
if err := login(r.Context(), email, password); err != nil {
http.Error(w, err.Error(), http.StatusInternalServerError)
return
}
w.Write([]byte("Login success"))
}
func login(ctx context.Context, email, password string) error {
// ⚠️ SQL INJECTION VULNERABILITY
rows, err := database.QueryContext(ctx, fmt.Sprintf("SELECT * FROM users WHERE email = '%s' AND password = '%s'", email, password))
if err != nil {
return err
}
defer rows.Close()
if !rows.Next() {
return fmt.Errorf("invalid email or password")
}
// do something
return nil
}
func setupDB() {
db, err := sql.Open("sqlite3", "file::memory:?cache=shared")
if err != nil {
panic(err)
}
if _, err := db.Exec("CREATE TABLE users(id int, email text, password text);"); err != nil {
panic(err)
}
if _, err := db.Exec("INSERT INTO users(id, email, password) VALUES(1, 'user@example.com', 'password');"); err != nil {
panic(err)
}
database = db
}
讓我們整合Waffle來防止SQL注入:
$ go run .
# SQL injection attack
$ curl -i -X POST 'http://localhost:8000/login' \
--data "email=user@example.com' OR 1=1--&password="
HTTP/1.1 200 OK
Date: Sun, 05 Jan 2025 10:32:50 GMT
Content-Length: 13
Content-Type: text/plain; charset=utf-8
Login success
修改main.go如下:
$ go get github.com/sitebatch/waffle-go
變化很小:
package main
import (
"context"
"database/sql"
"errors"
"fmt"
"net/http"
"github.com/sitebatch/waffle-go"
"github.com/sitebatch/waffle-go/action"
waffleSQL "github.com/sitebatch/waffle-go/contrib/database/sql"
waffleHTTP "github.com/sitebatch/waffle-go/contrib/net/http"
_ "github.com/mattn/go-sqlite3"
)
var database *sql.DB
func init() {
setupDB()
}
func newHTTPHandler() http.Handler {
mux := http.NewServeMux()
mux.Handle("/login", http.HandlerFunc(loginController))
handler := waffleHTTP.WafMiddleware(mux)
return handler
}
func main() {
srv := &http.Server{
Addr: ":8000",
Handler: newHTTPHandler(),
}
// Start waffle with debug mode
waffle.Start(waffle.WithDebug())
srv.ListenAndServe()
}
func loginController(w http.ResponseWriter, r *http.Request) {
email := r.FormValue("email")
password := r.FormValue("password")
if err := login(r.Context(), email, password); err != nil {
var actionErr *action.BlockError
if errors.As(err, &actionErr) {
return
}
http.Error(w, err.Error(), http.StatusInternalServerError)
return
}
w.Write([]byte("Login success"))
}
func login(ctx context.Context, email, password string) error {
// ⚠️ SQL INJECTION VULNERABILITY
rows, err := database.QueryContext(ctx, fmt.Sprintf("SELECT * FROM users WHERE email = '%s' AND password = '%s'", email, password))
if err != nil {
return err
}
defer rows.Close()
if !rows.Next() {
return fmt.Errorf("invalid email or password")
}
// do something
return nil
}
func setupDB() {
db, err := waffleSQL.Open("sqlite3", "file::memory:?cache=shared")
if err != nil {
panic(err)
}
if _, err := db.Exec("CREATE TABLE users(id int, email text, password text);"); err != nil {
panic(err)
}
if _, err := db.Exec("INSERT INTO users(id, email, password) VALUES(1, 'user@example.com', 'password');"); err != nil {
panic(err)
}
database = db
}
現在,當我們嘗試 SQL 注入攻擊時,Waffle 會阻止它:
diff --git a/main.go b/main.go
index 90b8197..9fefb06 100644
--- a/main.go
+++ b/main.go
@@ -3,9 +3,15 @@ package main
import (
"context"
"database/sql"
+ "errors"
"fmt"
"net/http"
+ "github.com/sitebatch/waffle-go"
+ "github.com/sitebatch/waffle-go/action"
+ waffleSQL "github.com/sitebatch/waffle-go/contrib/database/sql"
+ waffleHTTP "github.com/sitebatch/waffle-go/contrib/net/http"
+
_ "github.com/mattn/go-sqlite3"
)
@@ -19,7 +25,9 @@ func newHTTPHandler() http.Handler {
mux := http.NewServeMux()
mux.Handle("/login", http.HandlerFunc(loginController))
- return mux
+ handler := waffleHTTP.WafMiddleware(mux)
+
+ return handler
}
func main() {
@@ -28,6 +36,9 @@ func main() {
Handler: newHTTPHandler(),
}
+ // Start waffle with debug mode
+ waffle.Start(waffle.WithDebug())
+
srv.ListenAndServe()
}
@@ -36,6 +47,11 @@ func loginController(w http.ResponseWriter, r *http.Request) {
password := r.FormValue("password")
if err := login(r.Context(), email, password); err != nil {
+ var actionErr *action.BlockError
+ if errors.As(err, &actionErr) {
+ return
+ }
+
http.Error(w, err.Error(), http.StatusInternalServerError)
return
}
@@ -60,7 +76,7 @@ func login(ctx context.Context, email, password string) error {
}
func setupDB() {
- db, err := sql.Open("sqlite3", "file::memory:?cache=shared")
+ db, err := waffleSQL.Open("sqlite3", "file::memory:?cache=shared")
if err != nil {
panic(err)
}
此 HTML 是 waffle 預設回傳的錯誤訊息,如下所示:
使用佔位符時,Waffle 會辨識出不可能進行 SQL 注入,並且不會阻止要求:
$ curl -i -X POST 'http://localhost:8000/login' \
--data "email=user@example.com' OR 1=1--&password=" -i
HTTP/1.1 403 Forbidden
Date: Sun, 05 Jan 2025 10:38:22 GMT
Content-Length: 1574
Content-Type: text/html; charset=utf-8
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Access Denied</title>
# Fix SQL injection vulnerability
diff --git a/main.go
b/main.go
index 9fefb06..5b482f2 100644
--- a/main.go
+++ b/main.go
@@ -60,7 +60,7 @@ func loginController(w http.ResponseWriter, r *http.Request) {
}
func login(ctx context.Context, email, password string) error {
- rows, err := database.QueryContext(ctx, fmt.Sprintf("SELECT * FROM users WHERE email = '%s' AND password = '%s'", email, password))
+ rows, err := database.QueryContext(ctx, "SELECT * FROM users WHERE email = ? AND password = ?", email, password)
if err != nil {
return err
}
請注意,即使在這種情況下,Waffle 仍然可以像基於雲端的 WAF 一樣檢測嘗試的 SQL 注入(儘管它不會阻止它):
# Waffle won't block the request since SQL injection isn't possible
$ curl -i -X POST 'http://localhost:8000/login' \
--data "email=user@example.com' OR 1=1--&password="
HTTP/1.1 500 Internal Server Error
Content-Type: text/plain; charset=utf-8
X-Content-Type-Options: nosniff
Date: Sun, 05 Jan 2025 10:49:05 GMT
Content-Length: 26
invalid email or password
雖然我們已經示範了 SQL 注入預防,但 Waffle 可以偵測並防止各種攻擊:
有關更多詳細信息,請查看規則列表文件。
規則持續更新,歡迎貢獻。
透過將 Waffle 整合到您的應用程式中,您可以準確地偵測和預防攻擊。
特定於框架的實作指南和詳細使用說明,請參閱文件中的指南部分。
Waffle 正在積極開發中。我們歡迎回饋和貢獻。
以上是Waffle 簡介:Go 應用程式的應用程式內 WAF的詳細內容。更多資訊請關注PHP中文網其他相關文章!
