GO1.24:全新标准库 `os.Root`

已于 2024-12-18 10:31:59 修改
阅读量679 收藏 5
点赞数 5
文章标签: go golang 开发语言
于 2024-12-18 10:31:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_28791753/article/details/144553985
版权

GO1.24:全新标准库 os.Root在这里插入图片描述

更安全的文件操作方式

Golang 1.24 已进入冻结期,许多新功能现已在 Go 1.24 发布说明 中发布。在接下来的几天里,我将了解将添加到 Golang 1.24 的新功能和更改。如果您想了解 Go 的最新进展,请关注我。在本文中,我们将学习新的标准库 os.Root

提案

目录遍历漏洞是一类典型的漏洞,攻击者通过欺骗程序打开未预期的文件。这些攻击通常提供像 ../../../etc/passwd 这样的相对路径,导致访问超出预期的位置。CVE-2024–3400 是一个最近的、真实世界中目录遍历导致的远程代码执行漏洞的例子。

其他语言和操作系统中已经有类似的实现,例如:

  • Python 的 chroot:通过 os.chroot() 将根目录限制在特定目录。
  • Linux 文件系统命名空间:通过 mountchroot 限制进程的视图。

我们可以编写一个演示程序来测试这一点。首先,构造一个“机密”文件。

echo 'password123' >> /tmp/password

然后,编写一个在当前目录中打开文件的 Golang 函数。

package main

import (
    "fmt"
    "os"
)

func main() {  
    fileName := os.Args[1]  
    // 读取文件  
    localFilePath := "."  
    filePath := fmt.Sprintf("%s/%s", localFilePath, fileName)  
    content, err := os.ReadFile(filePath)  
    if err != nil {  
        fmt.Printf("Error reading file %s: %s\n", fileName, err)  
        return  
    }  
    fmt.Printf("File %s opened successfully. File content: %s\n", fileName, content)  
}

然而,由于传递了不可靠的参数,代码可能会访问权限范围之外的地方。

➜ os_root git:(main)pwd
/Users/hxzhouh/workspace/github/me/blog-example/go/go1.24/os_root
➜ os_root git:(main) ✗ ./main ../../../../../../../../../tmp/password
./../../../../../../../../../tmp/password
File ../../../../../../../../../tmp/password opened successfully. File content: password123

Go 1.24 中,新增了一种 os.Root 类型,允许在特定目录中进行文件系统操作。整个系统围绕这一新类型构建。对应的核心函数是 os.OpenRoot,它打开一个目录并返回一个 os.Rootos.Root 上的方法仅允许在该目录内操作,不允许指向目录外的位置,包括通过符号链接指向目录外的位置。这有效防御了前述提案中提到的攻击范围。让我们以 Go1.24 的方式修改代码:

package main

import (
    "fmt"
    "os"
)

func main() {  
    fileName := os.Args[1]  
    root, err := os.OpenRoot(".")  
    if err != nil {  
        panic(err)  
    }  
    file, err := root.Open(fileName)  
    if err != nil {  
        fmt.Println(fmt.Sprintf("Error opening file %s: %s\n", fileName, err.Error()))  
        return  
    }  
    content := make([]byte, 1024)  
    c, err := file.Read(content)  
    if err != nil {  
        panic(err)  
    }  
    content = content[:c]  
    fmt.Printf("File %s opened successfully. File content: %s\n", fileName, content)  
}

再次运行:

➜ os_root git:(main) ✗ go version 
go version devel go1.24-d87878c62b Mon Dec 9 21:38:18 2024 +0000 darwin/arm64
➜ os_root git:(main) ✗ go build -o go1.24 main.go  
➜ os_root git:(main) ✗ ./go1.24 ../../../../../../../../../tmp/password 
Error opening file ../../../../../../../../../tmp/password: openat ../../../../../../../../../tmp/password: path escapes from parent

如果文件夹超出父层级,将会报错。

请参考官方文档了解更多 API 接口。Go 1.24 正式发布后,许多第三方库将尽快适配;基本上,所有其他语言也都具有此功能。

结论

Go 1.24 引入的 os.Root 提供了一种更安全的文件操作方式,有效防止目录遍历漏洞。这对于构建需要严格文件访问控制的应用程序尤为重要。通过限制操作范围,开发者可以减少潜在的安全风险,提升应用的整体安全性。

如果您有更多关于 Go 1.24 或 os.Root 的问题,欢迎在下方留言讨论!

标签

Golang, Go1.24, os.Root, 文件操作, 安全, 编程, 目录遍历漏洞

相关链接

图片

如果有相关的代码示例或架构图,可以在此处插入以增强博客的可读性。

结束语

随着 Go 语言的发展,标准库不断增强和完善,开发者可以利用这些新特性构建更高效、更安全的应用程序。保持关注最新版本的更新,及时学习和应用新功能,将有助于提升您的开发技能和项目质量。

版权声明

本文为原创内容,转载请注明出处。

联系方式

如果您对本文有任何疑问或建议,欢迎通过评论区与我联系。

作者简介

我是 hxzhouh,一个热衷于 Go 语言和软件开发的程序员,致力于分享最新的技术动态和实用的编程技巧。欢迎关注我的博客,获取更多有价值的内容!

参考资料

第八阶段【DBA自动化】06:CentOS安装go环境
weixin_40612128的博客
04-24 79
CentOS安装go环境
云原生之路 | 1.快速了解容器(Container)及容器编排技术
WeiyiGeek 唯一极客IT知识分享
09-18 1423
2022年,原本是准备和同事一起完成出一本Kubernetes在企业落地实践的书的,但是由于老婆怀孕以及后来娃娃的出生需要照顾,从而错过了发版时间(工期赶不赢),后来一想是有点后悔,浪费了这一次宝贵机会,但是也无可奈何,出书对主题大纲、书籍目录、代码贴图、文章内容以及来源等格式都有严格的限制,所以说就是想赶上时间也是没办法的,不过在之前我已经完成了六章,如今生活一切都步入了正规,作者不详所以写和总结的文章吃灰,遂一一分享出来给大家一起学习,并且后续作者也会继续更新云原生在企业落地实践等相关文章,在。
Go 1.24 重磅发布:map 引擎升级 Swiss Table、泛型增强、安全强化等多项语言新特性
qq_20890935的博客
02-14 2297
Go 1.24 版本已于 2025 年 2 月正式发布,带来了多项语言特性、性能优化、安全增强及工具链改进。map 引擎升级 Swiss Table、泛型增强、安全强化。
Go1.24 新特性:map 换引擎,性能显著提高!
EDDYCJY的博客
01-06 1416
大家好,我是煎鱼。本次 Go1.24 新版本又带来了一个比较不错的优化点,Go map 做了一个比较大的改变,有了一定的性能优化。咱们又可以躺着升级个版本就得到一定的性能益处了。今天这篇文章将主要针对这部分进行新版本特性分享。该提案(go/issues/54766[1])的发起方是来自字节的大佬们。主要目的建议在 Go map 使用 Swiss Table 来替换 Hashmap 的原始实现。这里...
Go1.24 新特性:增强 os 标准库,防止目录遍历漏洞!
EDDYCJY的博客
12-09 1324
大家好,我是煎鱼。马上就要到 2025 年的 2 月份啦。Go1.24 又即将如期而至。接下来将给大家逐步带来新版本的特性更新。今天要给大家介绍的是 Go标准库 os 上做的一个安全方面的增强。有兴趣的同学可以后续在功能上保持跟进。提案背景在安全方面,目录遍历漏洞是一类常见的漏洞,攻击者会诱使程序打开一个它在原本的程序逻辑中并没有计划打开的文件。这些攻击通常采取提供相对路径名的形式,例如:./...
Go1.24 新特性:泛型再查缺补漏,正式支持类型别名!
EDDYCJY的博客
12-30 1203
大家好,我是煎鱼。自从 Go1.18 支持泛型后,社区很多同学以为泛型会带来非常巨大的改变。但实际上,还是比较尴尬的。因为泛型还在持续的迭代中,还处于发展期。今天给大家分享的是 Go1.24 中给泛型加的新功能特性。一起来学习吧!背景泛型提案说:"类型别名(type alias)可以引用泛型,但类型别名不能有自己的参数。之所以有这一限制,是因为不清楚如何处理具有约束的类型参数的类型别名"。对应的场...
矛盾的很,Go1.24 将需要更新的 Linux 内核!
EDDYCJY的博客
09-03 2106
大家好,我是煎鱼。一门编程语言总是要适配多个平台多种架构,其中莫过于适配 Windows 和 Linux 的不同版本。老的可能会被逐渐废弃,稳定版本的逐渐占据主流。GoGo1 兼容性保障,导致取舍之间总是会纠结要不要继续保留老的 Linux 版本内核支持。Go1.24 期望用 Linux 内核 3.2最近 Go1.24 的规划已经提上日程了,其中包含一项内核变更《all: require L...
Go 1.24新特性前瞻:工具链和标准库
TonyBai
12-17 1741
请点击上方蓝字TonyBai订阅公众号!在上一篇文章中,我们介绍了即将于2025年2月发布的Go 1.24版本在语法、编译器和运行时方面的主要变化。本文将继续承接上文,重点介绍Go 1.24在工具链和标准库方面的重要更新,供大家参考。1. 工具链1.1go.mod新增tool指示符,支持对tool的依赖管理(#48429)[1]我们日常编写Go项目代码时常常会依赖一些使用Go编写的工具,比如go...
搭建 K8S 环境:Centos7安装生产环境可用的K8S集群图文教程指南
极客星云-优快云博客
12-15 1286
Centos7 安装 K8S 图文实战教程
豆包1.24.8.18.2
imMikezhang的博客
08-18 1039
html5学习顺序 学习 HTML5 的顺序通常可以参考以下步骤: 基础语法(第一阶段): 了解 HTML5 的文档结构,包括<html>、<head>、<body>等标签。 学习常用的文本标签,如<p>(段落)、<h1>-<h6>(标题)、<span>等。 掌握图像标签<img>、链接标签<a>的使用。 列表与表格(第二阶段): 学习有序列表<ol>、无序
Windows安装WSL子系统及docker,以及WSL和docker配置、使用及问题解决
sym的博客
12-11 6644
在Windows操作系统中,Ubuntu子系统(也称为Windows Subsystem for Linux, WSL)为开发者提供了一个在Windows环境下运行Linux环境的平台。然而,有时用户在按照Ubuntu子系统或者使用WSL时,可能会遇到各种问题,下面总结一下解决方式。想要在Windows上安装Docker(实际上是基于Hyper-V或者WSL2这两项虚拟化技术),需要开启虚拟化功能,所以不管是对于系统还是硬件都有一定的要求。
Go 1.24 发布:性能更快,工具更强大,引领编程语言的新纪元
网络技术联盟站
02-13 1197
2025年2月12日,Go编程语言团队正式发布了Go 1.24版本,这是该语言近年来最具里程碑意义的一次升级。Go 1.24版本在性能、工具链、WebAssembly支持以及标准库方面都做出了显著的提升,充分体现了Go团队在提高语言效率和可用性方面的不断努力。此次更新不仅增强了Go的泛型编程能力,还进一步优化了运行时性能,丰富了工具链,并通过增加新的库函数简化了开发过程。本文将详细介绍Go 1.24的核心新特性和改进。
Go 1.24 发布:新特性详解与实战
weixin_46825193的博客
02-17 616
Go 1.24 版本已经发布,这是继 Go 1.23 之后的最新版本。本文将以实例为主,深入浅出地介绍此次更新中最重要的特性,帮助你快速掌握并在实际开发中应用这些新功能。一、语言特性更新:泛型类型别名1.1 什么是泛型类型别名?Go 1.24 完全支持泛型类型别名,这是对 Go 1.9 引入的类型别名特性的扩展。简单来说,你现在可以为泛型类型创建别名,这让代码更简洁、更易维护。1.2 基础用法//...
Go 1.24中值得关注的几个变化
TonyBai
02-17 1064
请点击上方蓝字TonyBai订阅公众号!北京时间2025年2月12日,恰逢中国传统元宵佳节,远在美国的Go团队正式发布了Go 1.24[1]的第一个版本Go 1.24.0[2]。这也是Go团队在更换Tech Leader为Austin Clements[3]后发布的首个大版本。按照惯例,每次Go大版本发布时,我都会撰写一篇“Go 1.x中值得关注的几个变化”的文章。自2014年的Go 1.4版本[...
Go 的 50 度灰:Golang 开发者要注意的陷阱、技巧和常见错误
云满笔记
08-04 3658
Go 是一门简单有趣的语言, 但与其他语言类似, 它会有一些技巧。。。这些技巧的绝大部分并不是 Go 的缺陷造成的。如果你以前使用的是其他语言, 那么这其中的有些错误就是很自然的陷阱。其它的是由错误的假设和缺少细节造成的。如果你花时间学习这门语言, 阅读官方说明、wiki、邮件列表讨论、大量的优秀博文和 Rob Pike 的展示, 以及源代码, 这些技巧中的绝大多数都是显而易见的。尽管不是每个人都是以这种方式开始学习的, 但也没关系。如果你是 Go 语言新人, 那么这里的信息将会节约你大量的调试代码的时间。
Go1.24 新特性:更多的迭代器方法、JSON 支持省略零值、终结器的改进等
EDDYCJY的博客
02-07 753
大家好,我是煎鱼。今天给大家继续介绍 Go1.24 的新特性,主要涉及垃圾回收时的注册函数机制、新增的迭代器方法、JSON 零值的优化。改进的终结器(finalizer)本次新版本增加的 runtime.AddCleanup 函数是一个比原有 runtime.SetFinalizer 更灵活、更高效且更不易出错的终结机制。AddCleanup 允许为对象附加一个清理函数,该函数会在对象不可达时执行...
深入浅出 Go 语言:泛型编程
软件架构师笔记
12-08 1152
泛型是一种编程机制,允许你在编写代码时使用占位符(称为类型参数)来表示未知的类型。编译器会在编译时根据具体的类型参数推导出实际的类型,并生成相应的代码。这样,你就可以编写一个函数或数据结构,使其能够处理多种不同的类型,而不需要为每种类型都编写单独的实现。func 函数名[类型参数列表](参数列表) 返回值 {// 函数体其中,类型参数列表是一个方括号内的逗号分隔的类型参数列表,每个类型参数可以用type关键字显式声明。参数列表和返回值与普通函数相同。除了使用内置约束外,你还可以定义自己的类型约束。
Go 团队于 2025 年 2 月 11 日正式发布了 Go 1.24 版本
最新发布
gopher123的博客
05-12 410
Go 团队于 2025 年 2 月 11 日正式发布了 Go 1.24 版本,带来了多项语言特性、性能优化、工具增强和标准库扩展。
Go 1.24.0 重磅发布:新特性、新工具,开发者必看!
2401_89221445的博客
02-12 471
Gopher们,Go 1.24.0发布啦!Go 1.24.0相比Go 1.23.0有许多改进。让我们一起来看看Go 1.24.0带来了哪些新变化吧!准备好了吗?准备一杯你最喜欢的咖啡或茶,随着本文一探究竟吧。
linux 用curl发送post请求失败
03-23
在Linux中使用curl发送POST请求失败可能有多种原因。以下是一些常见的可能原因和解决方法: 1. 网络连接问题:首先,请确保您的网络连接正常。您可以尝试使用ping命令检查目标服务器是否可达。如果网络连接存在问题,请修复网络连接问题。 2. 请求参数错误:请确保您正确设置了POST请求的参数。您可以使用-c或--cookie选项设置cookie,-H或--header选项设置请求头,-d或--data选项设置请求体数据。请检查您的参数设置是否正确。 3. 服务器端问题:如果您确定请求参数正确无误,但仍然无法发送POST请求成功,可能是服务器端存在问题。请联系服务器管理员或开发人员,确认服务器端是否正常运行,并检查服务器端是否对POST请求进行了正确的处理。 4. SSL证书问题:如果您的目标服务器使用了HTTPS协议,可能会涉及到SSL证书验证。如果您没有正确配置SSL证书,curl可能会拒绝发送请求。您可以尝试使用-k或--insecure选项来忽略SSL证书验证,但这并不是一个安全的做法。建议您正确配置SSL证书以确保安全性。 5. 防火墙问题:有时候,防火墙可能会阻止curl发送POST请求。请检查您的防火墙设置,确保允许curl发送POST请求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值