go这么好用的pprof包却引发了安全漏洞?规避pprof自动注册默认url

原创 已于 2023-12-13 13:52:10 修改 · 6.8k 阅读 · 29 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#golang #开发语言 #后端 #pprof

于 2023-12-06 15:31:29 首次发布
本文探讨了go语言pprof包引发的安全问题,由于其自动注册默认URL导致堆栈信息可能泄露。分析了pprof包的设计,并提出了三种解决方案:避免使用默认HTTP server、修改默认ServeMux或自定义pprof实现。通过这些方法,可以有效规避pprof带来的安全风险。

文章目录

背景介绍

最近项目在线上被检测出有pprof有漏洞,原因是产品对外暴露的端口,可以通过http://ip:prot/debug/pprof/profile,获取到代码的堆栈信息,视为不安全的。

问题分析

之所以pprof信息不安全,这要从go的net/http/pprof包的设计来讲。

pprof作为一个非常方便的性能检测工具,基本go服务都会默认开启它,

而pprof在使用方面也是非常简单的,只需要包含net/http/pprof,并且开启一个http监听

go func() {
   
   
		log.Println(http.ListenAndServe("localhost:6060", nil))
	}()

即可帮你打包注册pprof的url

在这里插入图片描述

但是漏洞也就出在这个简单易用上,

由于net/http/pprof包中直接在init函数中帮你注册了pprof的这些资源url。导致,只要你包含了这个包,这些url就会被自动被注册。且url不可变,也就导致只要你包含了net/http/pprof,又用http.ListenAndServe起了httpserver,就会导致pprof堆栈被信息的泄露。

同时源码还有个坑:
在init函数中明明只有5个接口,为什么
在这里插入图片描述
查出来却有9个
因为其他的接口在Index中,而这些接口也同样被绑死在了默认url上
在这里插入图片描述
因此如果要避免这些接口的漏洞,则需要显式修改

解决方案

1.起一个新的http server,不使用默认对象

package main

import (
	"fmt"
	"log"
	"net/http"
	"net/http/pprof"
)

func main() {
   
   
	mux := http.NewServeMux()
	prefix := "/test/debug/pprof"
	mux.Handle(prefix+"/", http.HandlerFunc(pprof.Index))
	mux.Handle(prefix+"/cmdline"<
最低0.47元/天 解锁文章
修复 pprof ---node_exproter访问漏洞(go-pprof-leak)
fanda-star
06-20 3638
* 在Go语言中,pprof和debug是用来检测和避免goroutine泄漏,避免导致goroutine泄漏,进而消耗大量系统资源。不过对于安全而言确又存在一定风险,**
漏洞修复】node-exporter被检测出来pprof调试信息泄露漏洞
热门推荐
Meepoljd的博客
06-09 2万+
大概意思是开发者并没有发现pprof会泄漏啥信息,issue提出者使用的是gosec工具做的静态安全扫描,可能产生很多编译期间的误报,然后社区达成一致的结论是和prometheus社区保持一致,转而使用codeql工具。如果实在要解决就按照本文章进行
go-pprof-leak漏洞
luminous_you的博客
11-02 8664
Go语言的 net/http/pprof 是令人难以置信的强大的,调试正在运行的生产服务器的这个功能微不足道,而在这个调试过程,就很容易不经意间将调试信息暴露给世界。参考:https://cloud.tencent.com/developer/news/312276。/debug/pprof/profile: 30秒的CPU状态信息。/debug/pprof/trace: 执行的追踪信息。/debug/pprof/heap: 内存的堆信息。
prometheus涉及pprof go信息泄露漏洞整改
abin的博客
09-06 8302
本文记录一下对系统渗透测试后反馈Prometheus涉及pprof go信息泄露,验证方法为http://ip:port/debug/pprof
修复go tool pprof存在的“bug”
techdashen的博客
03-21 1587
如果持续时间大于0,函数会将持续时间的秒数设置为查询参数中的 "seconds" 值。函数用于调整URL,并根据给定的持续时间和超时的值以及Go语言默认设置来修改URL。中Fetcher接口的定义, 确实会先执行自定义的fetch,再执行google/pprof中自己带的fetch(已经被我修改的那个)它还负责处理获取的分析数据,更新二进制文件的位置,并收集映射的源URL。函数的作用是根据给定的参数调整URL,并应用持续时间(duration)和超时(timeout)的值以及Go语言默认设置。
Go net/http/pprof 分析内存泄露及解决方法
rgc_520_zyl的博客
09-05 3445
使用pprof分析解决go语言中内存泄露的过程
go版本的pprof 可以解析C++函数吗?
最新发布
09-06
结合之前的上下文,用户已经了解到pprof在分析含C++代码的Go程序时可能遇到符号解析问题,现在直接询问Go版本的pprof是否可以解析C++函数。 根据之前的分析,我们知道: - Gopprof主要针对Go代码,对Go函数的...
golang 性能优化分析工具 pprof
不积跬步,无以至千里;不积小流,无以成江海。
04-08 1414
pprofGo 语言开发中不可或缺的性能分析工具,它能帮助开发者深入了解程序的性能瓶颈,从而有针对性地进行优化,提高程序的性能和稳定性。
Go程序性能优化及pprof使用方法详解
09-21
通过引入这个pprof的接口自动注册,允许我们通过`/debug/pprof`路径访问各种性能数据。例如,访问`/debug/pprof/profile`会生成一个CPU使用率的profile文件,而`/debug/pprof/heap`则提供内存使用情况的快照。...
Go语言性能优化:从GC调优到pprof分析
shejizuopin的博客
04-17 1016
通过GC调优和pprof分析,可以有效地优化Go语言的性能。在实际项目中,建议结合使用这两种方法,定期进行性能测试和分析,找到性能瓶颈并进行针对性的优化。同时,保持代码的可读性和可维护性也是优化过程中需要注意的重要方面。希望本文的分享能够帮助大家更好地优化Go语言应用的性能。
Golang程序查找内存泄漏(pprof
vankalsin的博客
08-16 5289
本文介绍了使用pprof及相关工具排查内存泄露的方法,适用于go语言编写的程序
EasyCVR平台安全扫描提示Go pprof调试信息泄露的解决办法
TSINGSEE青犀视频官方技术博客
07-21 2082
EasyCVR部署简单、兼容性高,平台采用分布式部署,可对外提供统一的API接口,实现连接设备、连接数据、连接应用,便于第三方平台快速集成。
Go 实战Go内存泄漏,pprof定位内存泄漏问题
Mark66890620
03-28 8014
引言: 最近解决了我们项目中的一个内存泄露问题,事实再次证明pprof是一个好工具,但掌握好工具的正确用法,才能发挥好工具的威力,不然就算你手里有屠龙刀,也成不了天下第一,本文就是带你用pprof定位内存泄露问题。 关于Go的内存泄露有这么一句话不知道你听过没有: 10次内存泄露,有9次是goroutine泄露。 我所解决的问题,也是goroutine泄露导致的内存泄露,所以这篇文章主要介绍Go程序的goroutine泄露,掌握了如何定位和解决goroutine泄露,...
node-exporter被检测出来pprof调试信息漏洞
TheDreamMaster的博客
07-01 2018
引用Meepoljd的方法编译成功,链接:https://blog.youkuaiyun.com/Meepoljd/article/details/131120377。得到的node_exporter-1.6.0.linux-amd64.tar.gz分享给大家。
漏洞复现】Kubernetes PPROF内存泄漏漏洞(CVE-2019-11248)
晚风不及你
01-16 8348
Kubernetes(简称K8S)是Google在2014年开源的一个容器集群管理系统。它用于容器化应用程序的部署、扩展和管理,目标是让部署容器化应用简单且高效。
Go语言中http的内存泄漏问题
博客
10-31 828
Go语言中,尤其需要关注http的内存泄漏问题,因为http是用于处理Web请求和响应的关键库,如果存在内存泄漏,会导致服务器性能下降和资源浪费。通过使用Go语言内置的工具进行内存剖析和分析,我们可以发现和解决http的内存泄漏问题,提高程序的性能和稳定性。例如,如果在处理请求的过程中创建了大量的临时对象,但没有及时释放,就会导致内存泄漏。在可视化界面中,我们可以查看内存分配和释放的情况,以及每个函数的内存占用情况。在上面的代码中,我们处理了文件上传请求,并将文件保存到本地磁盘。
go使用gopprof分析内存泄露
网易搬砖头
02-03 1954
go tool pprof http://127.0.0.1:8099/debug/pprof/heap 或者直接在浏览器里输入 http://127.0.0.1:8099/debug/pprof/heap。-diff_base:提供两个 profile 文件比较,显示的百分比是基于第一个 profile 统计的数量。这里先说第一种方式,命令行很方便,假设我的服务是8099端口的一个本地服务,我就直接使用。然后运行你的服务,这样你有两种方式来获取你的堆栈申请释放信息,一种是在命令行里输入。
使用pprof快速定位Go程序中的内存泄漏
IELLQUI8的博客
09-19 1265
内存泄漏是一个常见的问题,特别是在长时间运行的生产环境Go程序中。内存泄漏会导致程序占用的内存越来越多,最终可能导致系统崩溃或性能下降。为了快速定位和解决内存泄漏问题,Go语言提供了一个强大的性能分析工具,称为pprofpprofGo语言内置的性能分析工具之一,可以帮助开发者查找和定位程序中的性能问题,括内存泄漏。本文将介绍如何使用pprof工具来快速定位和解决Go程序中的内存泄漏问题。
#### go内存泄漏 及 pprof的使用 ####
仅做个人笔记
12-30 3051
如果你的go程序不是web服务器,而是一个服务进程,那么你也可以选择使用net/http/pprof,同样引入net/http/pprof,然后在开启另外一个goroutine来开启端口监听。go tool pprof --text http://localhost:8080/debug/pprof/heap (--text 可选,加--text时不进入pprof命令行)go tool pprof http://localhost:6060/debug/pprof/profile\?......
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

OrangeLBlue

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值