e4fbbe8e4e3faca8da31fdc1078ad806.png

Golang安全检查引擎

Go语言近几年开始越来越流行,凭借其强大的性能和跨平台的优势,对web和后台开发都是一个不错的选择。Xcheck支持Golang的代码安全检查,覆盖常用web框架,包括golang内建的net/http,以及一些流行的第三方web框架:gin,iris,mux,httprouter,fasthttp,fasthttprouter等。自然,也可以通过Xcheck的扩展能力,来适配其他框架。目前覆盖的Web漏洞类型包括但不限于以下:

  • 命令注入
  • SQL注入
  • URL跳转
  • 路径穿越
  • SSRF
  • ...

检测数据

我们在github上面选取了10000个golang项目进行安全检查,发现其中存在风险的项目182个,风险数317个,误报数19个,整体误报率6%左右。

项目数据
Github项目数10000
存在风险的项目数182
问题总数317
误报数19
误报率6%
bbd39942a4de120b43434a3de507579d.png
漏洞类型分布

使用Xcheck扫描内部golang项目19w次任务,其中耗时小于1分钟的项目占18万个,换句话说,90%以上的项目都在1分钟内扫描完毕。

检测案例

SQL注入漏洞

19376b1237633ac385eb9d8dca6cab33.png这是整理的部分golang进行sql查询时不正确地使用方式会引发风险的函数。

Query,QueryRow,QueryContext,QueryRowContextExec,Raw,Select,WhereQuery,QueryString,SQL,Where

以国外安全团队NemoSecurity在github的一个golang靶场项目GoVWA(https://github.com/0c34/govwa.git)为例:

088b0d6e300bf92680f8330d6c507e94.png
检测结果 
database/sql
uid := r.FormValue("uid")p := NewProfile()err := p.UnsafeQueryGetData(uid)
2cc8207e75c62a197823c05480a860c9.png
vulnerability/sqli/sqli.go 引入污点
3b4ed71c75a1fb28c8532a0744f5f8f3.png
vulnerability/sqli/function.go 触发漏洞

这里我们也使用了github开源高星项目的gosec代码扫描工具进行检测,很遗憾,工具报错了未能得到结果。

命令注入

9187f6099e104ed0f7ae556a003e2526.png

对于命令注入,Golang引擎原生支持识别os/exec相关的函数和结构体,包括exec.Command,exec.CommandContext以及相关实际执行函数CombinedOutput/Output/Run/Start。

CombinedOutput,Output,Run,Start

举一个实际项目的案例,图中317行是一个污点,318行是一个Cmd的实例,339行才是真实执行。值得注意的是,如果没有执行Start函数(319行),是不会报漏洞的。

66647ed292eeae19f43c6ddc84a481ae.png
命令注入图1
3356e0bda3d40071b1ae08d720bf5aa2.png
命令注入图2

URL跳转和SSRF

对于扫描引擎来说,这两类漏洞的检测除了支持一些相关触发函数的识别外,难点在于对url字符串的精确判断和分析,如果能做到这个效果,就能降低一些误报。

来看一个SSRF案例,Xcheck识别出这是一个SSRF问题,但是在最后的触发点,“过滤”字段提示这个url的host部分不可控制,其实无法造成危害,对于这种无法被利用的风险,Xcheck给出的漏洞级别是“提示(可忽略)”,这也是Xcheck精准识别的一个体现。

ccd15f54f92a736e9a7f8c2ca7aed4de.png
SSRF

结束语

随着golang在web后台开发等领域越来越流行,goalng的安全是个不可忽视的关注点。网上关于golang的代码审计文章也较少,后续xcheck也会持续输出golang代码审计的一些文章,共同学习进步。

想了解Xcheck更多信息或者代码安全审计相关技术欢迎关注xcheck公众号~

8c4930d3a0d04dd7749cb6baab104520.png