Go1.24 新特性:增强 os 标准库,防止目录遍历漏洞!

最新推荐文章于 2025-05-12 19:36:23 发布
最新推荐文章于 2025-05-12 19:36:23 发布
阅读量1.3k 收藏 6
点赞数 23
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/EDDYCJY/article/details/144360909
版权

大家好,我是煎鱼。

马上就要到 2025 年的 2 月份啦。Go1.24 又即将如期而至。接下来将给大家逐步带来新版本的特性更新。

今天要给大家介绍的是 Go 在标准库 os 上做的一个安全方面的增强。有兴趣的同学可以后续在功能上保持跟进。

提案背景

在安全方面,目录遍历漏洞是一类常见的漏洞,攻击者会诱使程序打开一个它在原本的程序逻辑中并没有计划打开的文件。

这些攻击通常采取提供相对路径名的形式,例如:./../.../etc/passwd,从而导致访问预定位置之外的文件。

像是近期发生的 CVE-2024-3400[1](GlobalProtect 中的任意文件创建导致操作系统命令注入漏洞)是最近一个真实的目录遍历导致远程代码执行漏洞被主动利用的例子。

54ec6608bd55dd57acaf67e3870d62cf.png
截图来自 https://research.qianxin.com/archives/1990

与此相关但较少被利用的一类漏洞,还有像是:软链接(也称:符号链接,symbolic link)遍历,即攻击者在文件系统中创建一个软链接,并操纵目标链接软链接。

因此提案原作者@Damien Neil,建议在 os 软件包中添加几个新函数,以帮助安全地打开带有不受信任的文件名组件的文件,并防御软链接遍历。

标准库 os 干什么的

标准库 os 主要是提供文件系统的相关功能,对外提供的接口独立于平台的接口,设计类似于 Unix。

最简单的例子:

file, err := os.Open("file.go") // For read access.
if err != nil {
 log.Fatal(err)
}

好了,四舍五入你已经理解了。

Go1.24 新特性:支持限定目录使用

在 Go1.24 中,新增了 os.Root 的类型,其提供了在特定目录中执行文件系统操作的能力。整个体系是围绕着这个新类型进行的。

对应的核心函数是 os.OpenRoot,函数打开一个目录并返回一个 os.Root

os.Root 上的方法仅允许在目录内操作,不允许指向目录外部位置的路径,包括遵循目录外符号链接的路径。(防御住了前面提案背景提到的攻击范围)

具体 Go1.24 支持的方法如下:

type Root struct { ... }

func OpenRoot(dir string) (*Root, error)

func (*Root) OpenFile(name string, flag int, perm FileMode) (*File, error)
func (*Root) Create(name string) (*File, error)
func (*Root) Open(name string) (*File, error)
func (*Root) OpenRoot(name string) (*Root, error)
func (*Root) Close() error
func (*Root) Mkdir(name string, perm FileMode) error
func (*Root) Remove(name string) error
func (*Root) Lstat(name string) (FileInfo, error)
func (*Root) Stat(name string) (FileInfo, error)

简单的使用例子:

func OpenInRoot(dir, name string) (*File, error) {
   r, err := OpenRoot(dir)
   if err != nil { return nil }
   return r.Open(name)
}

预计 Go1.25 才会实现:

func (*Root) MkdirAll
func (*Root) RemoveAll
func (*Root) Chmod
func (*Root) Chown
func (*Root) Chtimes
func (*Root) Lchown
func (*Root) Readlink
func (*Root) Rename
func (*Root) Symlink
func (*Root) Link
func (*Root) Truncate

总结

今天我们给大家分享了 Go1.24 中的新特性之一,主要是对于标准库 os 中文件系统的部分增强了特定目录中执行文件系统操作能力,用于防止目录遍历的漏洞。

这其实有些相像,因为之前 Google 也有专门针对此的 Go 开源库。也可以认为是一次简单增强的知识回流了。

推荐阅读

参考资料

[1]

CVE-2024-3400: https://research.qianxin.com/archives/1990

关注和加煎鱼微信,

一手消息和知识,拉你进技术交流群👇

b6246bf945de601bfa0bc587e067c15b.jpeg

9f22a2e4091ab3fb6fd107eb33c15fa2.png

你好,我是煎鱼,出版过 Go 畅销书《Go 语言编程之旅》,再到获得 GOP(Go 领域最有观点专家)荣誉,点击蓝字查看我的出书之路

日常分享高质量文章,输出 Go 面试、工作经验、架构设计,加微信拉读者交流群,和大家交流!

原创不易 点赞支持

第八阶段【DBA自动化】06:CentOS安装go环境
weixin_40612128的博客
04-24 79
CentOS安装go环境
Go 1.24新特性前瞻:语法、编译器与运行时
TonyBai
12-16 2012
请点击上方蓝字TonyBai订阅公众号!自2020年底撰写《Go 1.16版本新特性前瞻》以来,四年转瞬而逝。在这段时间里,每当Go的大版本开发进入新特性冻结(freeze)阶段,我都会为大家带来该版本的特性前瞻,旨在让大家更早地了解和实验这些新特性,从而在版本正式发布时能够准确评估是否应用它们。11月末,Go 1.24新特性开发已经冻结,我认为是时候对Go 1.24新特性进行前瞻了。本次前瞻将...
Go 1.24 重磅发布:map 引擎升级 Swiss Table、泛型增强、安全强化等多项语言新特性
qq_20890935的博客
02-14 2296
Go 1.24 版本已于 2025 年 2 月正式发布,带来了多项语言特性、性能优化、安全增强及工具链改进。map 引擎升级 Swiss Table、泛型增强、安全强化。
Go1.24 新特性:更多的迭代器方法、JSON 支持省略零值、终结器的改进等
EDDYCJY的博客
02-07 753
大家好,我是煎鱼。今天给大家继续介绍 Go1.24新特性,主要涉及垃圾回收时的注册函数机制、新增的迭代器方法、JSON 零值的优化。改进的终结器(finalizer)本次新版本增加的 runtime.AddCleanup 函数是一个比原有 runtime.SetFinalizer 更灵活、更高效且更不易出错的终结机制。AddCleanup 允许为对象附加一个清理函数,该函数会在对象不可达时执行...
GO1.24:全新标准库 `os.Root`
qq_28791753的博客
12-18 679
我是 hxzhouh,一个热衷于 Go 语言和软件开发的程序员,致力于分享最新的技术动态和实用的编程技巧。欢迎关注我的博客,获取更多有价值的内容!
Go1.24 新特性:map 换引擎,性能显著提高!
EDDYCJY的博客
01-06 1415
大家好,我是煎鱼。本次 Go1.24 新版本又带来了一个比较不错的优化点,Go map 做了一个比较大的改变,有了一定的性能优化。咱们又可以躺着升级个版本就得到一定的性能益处了。今天这篇文章将主要针对这部分进行新版本特性分享。该提案(go/issues/54766[1])的发起方是来自字节的大佬们。主要目的建议在 Go map 使用 Swiss Table 来替换 Hashmap 的原始实现。这里...
矛盾的很,Go1.24 将需要更新的 Linux 内核!
EDDYCJY的博客
09-03 2106
大家好,我是煎鱼。一门编程语言总是要适配多个平台多种架构,其中莫过于适配 Windows 和 Linux 的不同版本。老的可能会被逐渐废弃,稳定版本的逐渐占据主流。GoGo1 兼容性保障,导致取舍之间总是会纠结要不要继续保留老的 Linux 版本内核支持。Go1.24 期望用 Linux 内核 3.2最近 Go1.24 的规划已经提上日程了,其中包含一项内核变更《all: require L...
Go语言1.24版本新特性详解与高性能博客系统miniblog实战项目
03-04
内容概要:Go 1.24 版本引入了多项关键改进,其中包括:泛型类型别名,允许类型别名携带类型参数,简化代码实现;弱指针避免对象因包含在缓存中而无法被释放的问题;改进了终结器,提供了新的运行时函数 AddCleanup ...
WVS 1.24.121:新一代网站漏洞检测利器
- **漏洞检测**:包括但不限于SQL注入、跨站脚本(XSS)、文件上传漏洞、会话固定、CSRF(跨站请求伪造)、远程文件包含、目录遍历等常见漏洞的检测。 - **数据库安全**:检查数据库配置漏洞,比如弱口令、未授权...
开源博客平台Ghost v1.24.9:国外独立博客平台新选择
在这个版本中,Ghost可能引入了新的特性、修复了已知的漏洞以及改进了性能。不过,由于没有具体的版本更新日志,我们无法详细描述具体的功能改进。通常情况下,一个新版本的发布会包括以下几方面的更新: 1. 用户...
Go1.24 新特性:泛型再查缺补漏,正式支持类型别名!
EDDYCJY的博客
12-30 1203
大家好,我是煎鱼。自从 Go1.18 支持泛型后,社区很多同学以为泛型会带来非常巨大的改变。但实际上,还是比较尴尬的。因为泛型还在持续的迭代中,还处于发展期。今天给大家分享的是 Go1.24 中给泛型加的新功能特性。一起来学习吧!背景泛型提案说:"类型别名(type alias)可以引用泛型,但类型别名不能有自己的参数。之所以有这一限制,是因为不清楚如何处理具有约束的类型参数的类型别名"。对应的场...
Go】:深入解析 Go 1.24新特性、改进与最佳实践
寻找09之夏的博客
01-12 3147
Go 1.24 尚未发布。这些是正在进行中的发布说明。Go 1.24 预计将于 2025 年 2 月发布。本文将深入探讨 Go 1.24 中引入的各项更新,并通过具体示例展示这些变化如何影响日常开发工作,确保为读者提供详尽而有价值的参考。
Go 1.24新特性前瞻:工具链和标准库
TonyBai
12-17 1741
请点击上方蓝字TonyBai订阅公众号!在上一篇文章中,我们介绍了即将于2025年2月发布的Go 1.24版本在语法、编译器和运行时方面的主要变化。本文将继续承接上文,重点介绍Go 1.24在工具链和标准库方面的重要更新,供大家参考。1. 工具链1.1go.mod新增tool指示符,支持对tool的依赖管理(#48429)[1]我们日常编写Go项目代码时常常会依赖一些使用Go编写的工具,比如go...
Go 1.24 发布:性能更快,工具更强大,引领编程语言的新纪元
网络技术联盟站
02-13 1197
2025年2月12日,Go编程语言团队正式发布了Go 1.24版本,这是该语言近年来最具里程碑意义的一次升级。Go 1.24版本在性能、工具链、WebAssembly支持以及标准库方面都做出了显著的提升,充分体现了Go团队在提高语言效率和可用性方面的不断努力。此次更新不仅增强Go的泛型编程能力,还进一步优化了运行时性能,丰富了工具链,并通过增加新的库函数简化了开发过程。本文将详细介绍Go 1.24的核心新特性和改进。
Go 1.24 发布:新特性详解与实战
weixin_46825193的博客
02-17 616
Go 1.24 版本已经发布,这是继 Go 1.23 之后的最新版本。本文将以实例为主,深入浅出地介绍此次更新中最重要的特性,帮助你快速掌握并在实际开发中应用这些新功能。一、语言特性更新:泛型类型别名1.1 什么是泛型类型别名?Go 1.24 完全支持泛型类型别名,这是对 Go 1.9 引入的类型别名特性的扩展。简单来说,你现在可以为泛型类型创建别名,这让代码更简洁、更易维护。1.2 基础用法//...
Go 1.24中值得关注的几个变化
TonyBai
02-17 1064
请点击上方蓝字TonyBai订阅公众号!北京时间2025年2月12日,恰逢中国传统元宵佳节,远在美国的Go团队正式发布了Go 1.24[1]的第一个版本Go 1.24.0[2]。这也是Go团队在更换Tech Leader为Austin Clements[3]后发布的首个大版本。按照惯例,每次Go大版本发布时,我都会撰写一篇“Go 1.x中值得关注的几个变化”的文章。自2014年的Go 1.4版本[...
深入浅出 Go 语言:泛型编程
软件架构师笔记
12-08 1152
泛型是一种编程机制,允许你在编写代码时使用占位符(称为类型参数)来表示未知的类型。编译器会在编译时根据具体的类型参数推导出实际的类型,并生成相应的代码。这样,你就可以编写一个函数或数据结构,使其能够处理多种不同的类型,而不需要为每种类型都编写单独的实现。func 函数名[类型参数列表](参数列表) 返回值 {// 函数体其中,类型参数列表是一个方括号内的逗号分隔的类型参数列表,每个类型参数可以用type关键字显式声明。参数列表和返回值与普通函数相同。除了使用内置约束外,你还可以定义自己的类型约束。
Go 团队于 2025 年 2 月 11 日正式发布了 Go 1.24 版本
最新发布
gopher123的博客
05-12 410
Go 团队于 2025 年 2 月 11 日正式发布了 Go 1.24 版本,带来了多项语言特性、性能优化、工具增强标准库扩展。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值