सुरक्षित गो एप्लिकेशन विकसित करने के लिए 6 सिफारिशें

हाल के वर्षों में, गोलंग व्यापक और व्यापक रूप से फैल गया है। डोकर, कुबेरनेट और टेराफॉर्म जैसी सफल परियोजनाओं ने इस प्रोग्रामिंग भाषा पर बहुत बड़ा दांव लगाया है। गो, कमांड-लाइन टूल बनाने के लिए वास्तविक मानक बन गया है। और अगर हम सुरक्षा के बारे में बात करते हैं, तो यह पता चलता है कि इस क्षेत्र में गो सब कुछ सही क्रम में है। अर्थात्, 2002 के बाद से, सीवीई रजिस्ट्री में केवल एक गोलांग भेद्यता दर्ज की गई है।

हालांकि, यह तथ्य कि प्रोग्रामिंग भाषा में कोई भेद्यता नहीं है, इसका मतलब यह नहीं है कि इस भाषा में लिखा गया कोई भी एप्लिकेशन पूरी तरह से सुरक्षित होगा। यदि डेवलपर कुछ सिफारिशों का पालन नहीं करता है, तो वह ऐसी भाषा में भी असुरक्षित आवेदन कर सकता है। गो के मामले में, आप OWASP सामग्रियों का संदर्भ देकर इसी तरह की सिफारिशें पा सकते हैं।



लेख के लेखक, जिसका अनुवाद हम आज प्रकाशित कर रहे हैं, तैयार है, OWASP डेटा के आधार पर, गो पर सुरक्षित एप्लिकेशन विकसित करने के लिए 6 सिफारिशें।

1. उपयोगकर्ता इनपुट सत्यापित करें

उपयोगकर्ता द्वारा दर्ज किए गए डेटा का सत्यापन न केवल एप्लिकेशन के सही कामकाज को सुनिश्चित करने के लिए आवश्यक है। इसका उद्देश्य घुसपैठियों से मुकाबला करना भी है, जो एक विशेष तरीके से तैयार किए गए डेटा का उपयोग करते हुए, सिस्टम को बाधित करने की कोशिश कर रहे हैं। इसके अलावा, उपयोगकर्ता डेटा की जाँच करना उपयोगकर्ताओं को एप्लिकेशन के साथ और अधिक आत्मविश्वास से काम करने में मदद करता है, क्योंकि यह उन्हें सामान्य त्रुटियों से बचाता है। उदाहरण के लिए, उपयोगकर्ता आदेशों का विश्लेषण करके, आप एक ही समय में ऐसी स्थिति में कई रिकॉर्ड को हटाने के प्रयास को रोक सकते हैं जहां इस तरह की कार्रवाई से खराबी की व्यवस्था हो सकती है।

उपयोगकर्ता इनपुट को सत्यापित करने के लिए आप मानक गो पैकेज का उपयोग कर सकते हैं। उदाहरण के लिए, strconv पैकेज स्ट्रिंग डेटा को अन्य प्रकार के डेटा में परिवर्तित करने में मदद करता है। गो भी समर्थन करता है, regexp के लिए धन्यवाद, नियमित अभिव्यक्ति। उनका उपयोग जटिल डेटा सत्यापन स्क्रिप्ट को लागू करने के लिए किया जा सकता है। इस तथ्य के बावजूद कि गो वरीयता पर विकास के माहौल में आमतौर पर मानक पुस्तकालयों को दिया जाता है, डेटा की जांच करने के उद्देश्य से तीसरे पक्ष के पैकेज हैं। उदाहरण के लिए, सत्यापनकर्ता । यह पैकेज जटिल डेटा संरचनाओं या एकल मूल्यों को सत्यापित करना आसान बनाता है। उदाहरण के लिए, निम्न कोड में निहित ईमेल पते की शुद्धता के लिए User संरचना की जांच करता है:

 package main import (  "fmt"  "gopkg.in/go-playground/validator.v9" ) type User struct {  Email string `json:"email" validate:"required,email"`  Name string `json:"name" validate:"required"` } func main() {  v := validator.New()  a := User{    Email: "a",  }  err := v.Struct(a)  for _, e := range err.(validator.ValidationErrors) {    fmt.Println(e)  } } 

2. HTML टेम्पलेट का उपयोग करें

XSS (क्रॉस-साइट स्क्रिप्टिंग, क्रॉस-साइट स्क्रिप्टिंग) एक गंभीर और व्यापक भेद्यता है। XSS भेद्यता एक हमलावर को एप्लिकेशन में दुर्भावनापूर्ण कोड को इंजेक्ट करने की अनुमति देती है जो एप्लिकेशन द्वारा उत्पन्न डेटा को प्रभावित कर सकती है। उदाहरण के लिए, कोई URL में क्वेरी स्ट्रिंग के भाग के रूप में, एप्लिकेशन को जावास्क्रिप्ट कोड भेज सकता है। जब अनुप्रयोग ऐसे अनुरोध को संसाधित करता है, तो यह जावास्क्रिप्ट कोड निष्पादित किया जा सकता है। नतीजतन, यह पता चलता है कि एप्लिकेशन डेवलपर को यह अपेक्षा करनी चाहिए और उपयोगकर्ता से प्राप्त डेटा को साफ करना चाहिए।

गो में एक html / टेम्पलेट पैकेज है जो आपको HTML कोड उत्पन्न करने की अनुमति देता है जो दुर्भावनापूर्ण टुकड़ों से सुरक्षित है। नतीजतन, ब्राउज़र जो आक्रमण किए गए एप्लिकेशन को प्रदर्शित करता है, बजाय कोड को निष्पादित करने के बजाय <script>alert('You've Been Hacked!');</script> , जो उस उपयोगकर्ता को सूचित करता है कि वह हैक किया गया था, सादे पाठ के साथ दुर्भावनापूर्ण जावास्क्रिप्ट कोड का अनुभव करेगा। । HTML टेम्पलेट का उपयोग करने वाला HTTP सर्वर कैसा दिखता है:

 package main import (  "html/template"  "net/http" ) func handler(w http.ResponseWriter, r *http.Request) {  param1 := r.URL.Query().Get("param1")  tmpl := template.New("hello")  tmpl, _ = tmpl.Parse(`{{define "T"}}{{.}}{{end}}`)  tmpl.ExecuteTemplate(w, "T", param1) } func main() {  http.HandleFunc("/", handler)  http.ListenAndServe(":8080", nil) } 

तीसरे पक्ष के पुस्तकालय हैं जिनका उपयोग आप गो पर वेब एप्लिकेशन विकसित करते समय कर सकते हैं। मान लीजिए कि यह गोरिल्ला वेब टूलकिट है । इस टूलकिट में वे पुस्तकालय शामिल हैं जो डेवलपर की मदद करते हैं, उदाहरण के लिए, प्रमाणीकरण कुकीज़ में मानों को सांकेतिक शब्दों में बदलना। और यहाँ एक और परियोजना है - nosurf । यह एक HTTP पैकेट है जो CSRF हमलों को रोकने में मदद करता है।

3. अपनी परियोजना को SQL इंजेक्शन से सुरक्षित रखें

यदि आप वेब विकास के लिए नए नहीं हैं, तो आप शायद SQL इंजेक्शन हमलों (प्रश्नों में मनमाने ढंग से SQL कोड को इंजेक्ट करने की विधि का उपयोग करके) के बारे में जानते हैं। इसी भेद्यता अभी भी OWASP शीर्ष 10 रैंकिंग में पहले स्थान पर है। SQL इंजेक्शन से अनुप्रयोगों की सुरक्षा के लिए, आपको कुछ विशेषताओं पर विचार करने की आवश्यकता है। इसलिए, यह सुनिश्चित करने वाली पहली बात यह है कि डेटाबेस से जुड़ने वाले उपयोगकर्ता के पास सीमित विशेषाधिकार होंगे। यह अनुशंसा की जाती है, इसके अलावा, उपयोगकर्ता द्वारा दर्ज किए गए डेटा को साफ़ करने के लिए, जैसा कि हमने पहले ही उल्लेख किया है, या html/template पैकेज से HTMLEscapeString फ़ंक्शन का उपयोग करने के लिए।

लेकिन एसक्यूएल इंजेक्शन के खिलाफ की रक्षा में सबसे महत्वपूर्ण बात यह है कि पैरामीटराइज्ड क्वैश्चंस (तैयार भाव) का उपयोग। गो में, भाव एक कनेक्शन के लिए तैयार नहीं हैं, लेकिन एक डेटाबेस के लिए। यहां पैरामीटरयुक्त प्रश्नों का उपयोग करने का एक उदाहरण दिया गया है:

 customerName := r.URL.Query().Get("name") db.Exec("UPDATE creditcards SET name=? WHERE customerId=?", customerName, 233, 90) 

लेकिन क्या होगा अगर डेटाबेस इंजन पूर्व-तैयार अभिव्यक्तियों के उपयोग का समर्थन नहीं करता है? लेकिन क्या होगा अगर यह क्वेरी प्रदर्शन को प्रभावित करता है? ऐसे मामलों में, आप db.Query() फ़ंक्शन का उपयोग कर सकते हैं, लेकिन सबसे पहले आपको उपयोगकर्ता इनपुट को साफ़ करना याद रखना चाहिए। SQL इंजेक्शन का उपयोग करके हमलों को रोकने के लिए, आप sqlmap जैसे तृतीय-पक्ष लाइब्रेरी का उपयोग कर सकते हैं।

यह ध्यान दिया जाना चाहिए कि, एसक्यूएल हमलों से अनुप्रयोगों की रक्षा करने के सभी प्रयासों के बावजूद, कभी-कभी हमलावर अभी भी इन हमलों में सफल होते हैं। कहें - बाह्य अनुप्रयोग निर्भरता के माध्यम से। प्रोजेक्ट सुरक्षा के स्तर को बढ़ाने के लिए, आप एप्लिकेशन सुरक्षा को सत्यापित करने के लिए उपयुक्त टूल का उपयोग कर सकते हैं। उदाहरण के लिए, Sqreen मंच के उपकरण।

4. महत्वपूर्ण जानकारी एन्क्रिप्ट करें

यदि कोई व्यक्ति BASE64 एन्कोडिंग में एक निश्चित स्ट्रिंग को नहीं पढ़ सकता है, तो कहें, इसका मतलब यह नहीं है कि इसमें छिपी जानकारी को सुरक्षित रूप से संरक्षित किया गया है। इसलिए, महत्वपूर्ण जानकारी को एन्क्रिप्ट किया जाना चाहिए, इसे घुसपैठियों से संरक्षित करना जो एन्क्रिप्टेड डेटा तक पहुंच प्राप्त कर सकते हैं। आमतौर पर एन्क्रिप्टेड जानकारी जैसे कि डेटाबेस पासवर्ड, उपयोगकर्ता पासवर्ड, उपयोगकर्ता व्यक्तिगत डेटा।

OWASP परियोजना के ढांचे के भीतर, पसंदीदा एन्क्रिप्शन एल्गोरिदम के बारे में कुछ सिफारिशें की जाती हैं । उदाहरण के लिए, यह bcrypt , PDKDF2 , Argon2 , scrypt । एक पैकेज गो है, क्रिप्टो , जिसमें विभिन्न एन्क्रिप्शन एल्गोरिदम के विश्वसनीय कार्यान्वयन शामिल हैं। यहाँ bcrypt एल्गोरिथ्म का उपयोग करके एक उदाहरण दिया bcrypt है:

 package main import (  "database/sql"  "context"  "fmt"  "golang.org/x/crypto/bcrypt" ) func main() {  ctx := context.Background()  email := []byte("john.doe@somedomain.com")  password := []byte("47;u5:B(95m72;Xq")  hashedPassword, err := bcrypt.GenerateFromPassword(password, bcrypt.DefaultCost)  if err != nil {    panic(err)  }  stmt, err := db.PrepareContext(ctx, "INSERT INTO accounts SET hash=?, email=?")  if err != nil {    panic(err)  }  result, err := stmt.ExecContext(ctx, hashedPassword, email)  if err != nil {    panic(err)  } } 

कृपया ध्यान दें कि एन्क्रिप्शन का उपयोग करते हुए भी, आपको सेवाओं के बीच जानकारी के सुरक्षित हस्तांतरण का ध्यान रखना होगा। उदाहरण के लिए, आपको उपयोगकर्ता के पासवर्ड को सादे पाठ में कहीं भी स्थानांतरित नहीं करना चाहिए, भले ही वह एन्क्रिप्टेड रूप में संग्रहीत हो। इंटरनेट पर डेटा स्थानांतरित करते समय, यह धारणा से शुरू होने के लायक है कि उन्हें एक हमलावर द्वारा इंटरसेप्ट किया जा सकता है जो एक निश्चित प्रणाली के भीतर निष्पादित अनुरोधों से डेटा एकत्र करता है। हमलावर अन्य सिस्टम से प्राप्त डेटा के साथ एकत्रित जानकारी से मेल खा सकता है, और परिणामस्वरूप उसके लिए ब्याज की परियोजना को दरार कर सकता है।

5. HTTPS लागू करें

इन दिनों, अधिकांश ब्राउज़र को उन साइटों की आवश्यकता होती है जो HTTPS का समर्थन करने के लिए उनके साथ खुलती हैं। उदाहरण के लिए, यदि Chrome HTTPS का उपयोग किए बिना साइट के साथ डेटा एक्सचेंज किया जाता है, तो Chrome, पता बार में एक सूचना दिखाएगा। एक निश्चित परियोजना का समर्थन करने वाले संगठन में, इस परियोजना को बनाने वाली सेवाओं के बीच डेटा के सुरक्षित आदान-प्रदान के आयोजन के उद्देश्य से एक सुरक्षा नीति लागू की जा सकती है। नतीजतन, कनेक्शन की सुरक्षा सुनिश्चित करने के लिए, केवल 443 पोर्ट पर सुनने वाले एप्लिकेशन पर ध्यान देना आवश्यक है। परियोजना के पास उचित प्रमाण पत्र होना चाहिए, HTTP डेटा एक्सचेंज पर स्विच करने से हमलावर को रोकने के लिए HTTPS के मजबूर उपयोग को व्यवस्थित करना आवश्यक है।

यहाँ एक उदाहरण अनुप्रयोग है जो HTTPS को लागू करता है:

 package main import (  "crypto/tls"  "log"  "net/http" ) func main() {  mux := http.NewServeMux()  mux.HandleFunc("/", func(w http.ResponseWriter, req *http.Request) {    w.Header().Add("Strict-Transport-Security", "max-age=63072000; includeSubDomains")    w.Write([]byte("This is an example server.\n"))  })  cfg := &tls.Config{    MinVersion:        tls.VersionTLS12,    CurvePreferences:     []tls.CurveID{tls.CurveP521, tls.CurveP384, tls.CurveP256},    PreferServerCipherSuites: true,    CipherSuites: []uint16{      tls.TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,      tls.TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,      tls.TLS_RSA_WITH_AES_256_GCM_SHA384,      tls.TLS_RSA_WITH_AES_256_CBC_SHA,    },  }  srv := &http.Server{    Addr:     ":443",    Handler:   mux,    TLSConfig:  cfg,    TLSNextProto: make(map[string]func(*http.Server, *tls.Conn, http.Handler), 0),  }  log.Fatal(srv.ListenAndServeTLS("tls.crt", "tls.key")) } 

कृपया ध्यान दें कि आवेदन पोर्ट 443 पर सुनता है। और यहां HTTPS के जबरन उपयोग के लिए जिम्मेदार लाइन है:

 w.Header().Add("Strict-Transport-Security", "max-age=63072000; includeSubDomains") 

इसके अलावा, TLS कॉन्फ़िगरेशन में सर्वर नाम निर्दिष्ट करने से समझ में आ सकती है:

 config := &tls.Config{ServerName: "yourSiteOrServiceName"} 

यह अनुशंसा की जाती है कि आप हमेशा सिस्टम के कुछ हिस्सों के बीच प्रेषित डेटा के एन्क्रिप्शन का उपयोग करें, भले ही वेब एप्लिकेशन एक आंतरिक चैट कंपनी का एक सा हो। एक हमले के संभावित परिणामों की कल्पना करें जिसमें एक हमलावर नेटवर्क पर प्रेषित एप्लिकेशन डेटा को स्वीकार करता है। जब भी संभव हो, परियोजना पर संभावित हमलों के लिए तैयार करना सार्थक है, जितना संभव हो हमलावरों के जीवन को जटिल बनाने की कोशिश करना।

6. त्रुटि से निपटने और लॉगिंग के बारे में सावधान रहें।

यह आइटम हमारी सूची में अंतिम है, लेकिन यह निश्चित रूप से पिछले महत्व से बहुत दूर है। यहां हम एरर हैंडलिंग और लॉगिंग के बारे में बात कर रहे हैं।

उत्पादन में आने वाली समस्याओं का समय पर सामना करने के लिए, आपको एप्लिकेशन को उपयुक्त उपकरणों से लैस करने की आवश्यकता है। उसी समय, आपको उपयोगकर्ताओं को दिखाए जाने वाले त्रुटि संदेशों के बारे में बहुत सावधान रहना चाहिए। आपको उपयोगकर्ता के विवरण के बारे में नहीं बताना चाहिए कि क्या गलत हुआ। तथ्य यह है कि एक हमलावर इस जानकारी का उपयोग कर सकता है ताकि यह पता लगाया जा सके कि परियोजना में किन सेवाओं और प्रौद्योगिकियों का उपयोग किया जाता है। इसके अलावा, यह याद रखने योग्य है कि यद्यपि लॉग आमतौर पर एक सकारात्मक प्रकाश में माना जाता है, ये लॉग कहीं संग्रहीत होते हैं। और यदि एप्लिकेशन लॉग गलत हाथों में पड़ता है, तो इससे जानकारी का विश्लेषण करने से परियोजना पर हमला करने में मदद मिल सकती है।

यहाँ पर विचार करने वाली पहली बात यह है कि गो के लिए कोई अपवाद नहीं हैं। इसका मतलब यह है कि गो में लिखे गए अनुप्रयोगों में त्रुटियां उसी तरह से त्रुटियों को संभालती नहीं हैं जैसे कि अन्य भाषाओं में लिखे गए अनुप्रयोगों में त्रुटियां। आमतौर पर यह इस तरह दिखता है:

 if err != nil {    //   } 

इसके अलावा, गो में लॉग नामक log साथ काम करने के लिए एक मानक पुस्तकालय है। यहाँ इसके उपयोग का एक सरल उदाहरण है:

 package main import (  "log" ) func main() {  log.Print("Logging in Go!") } 

लॉगिंग के आयोजन के लिए तीसरे पक्ष के पुस्तकालय हैं। उदाहरण के लिए, यह logrus , glog , loggo । यहाँ logrus का उपयोग करने का एक छोटा सा उदाहरण है:

 package main import (  "os"  log "github.com/sirupsen/logrus" ) func main() {  file, err := os.OpenFile("info.log", os.O_CREATE|os.O_APPEND, 0644)  if err != nil {    log.Fatal(err)  }  defer file.Close()  log.SetOutput(file)  log.SetFormatter(&log.JSONFormatter{})  log.SetLevel(log.WarnLevel)  log.WithFields(log.Fields{    "animal": "walrus",    "size":  10,  }).Info("A group of walrus emerges from the ocean") } 

और अंत में, लॉग में आने वाले डेटा के साथ काम करते समय, उन सुरक्षा अनुशंसाओं का उपयोग करें जिनकी हमने पहले ही चर्चा की है। विशेष रूप से, ऐसे डेटा को स्पष्ट और एन्क्रिप्ट करें।

परिणाम

यहां दी गई सिफारिशें न्यूनतम हैं जो गो में लिखी परियोजना के पास होनी चाहिए। लेकिन अगर प्रश्न में परियोजना कमांड लाइन उपयोगिता है, तो उसे नेटवर्क पर प्रेषित यातायात के लिए सुरक्षा को लागू करने की आवश्यकता नहीं है। शेष सुझाव लगभग किसी भी प्रकार के आवेदन पर लागू होते हैं। यदि आप गो पर सुरक्षित एप्लिकेशन विकसित करने के मुद्दे को गहराई से जानना चाहते हैं, तो इस विषय पर OWASP पुस्तक देखें । और यहां एक रिपॉजिटरी है जिसमें गो-अनुप्रयोगों की सुरक्षा सुनिश्चित करने के उद्देश्य से विभिन्न उपकरणों के लिंक हैं।

आप अपने अनुप्रयोगों को सुरक्षित करने के क्षेत्र में जो कुछ भी करते हैं, याद रखें कि सुरक्षा में हमेशा सुधार हो सकता है और हमलावर लगातार नए तरीके खोज रहे हैं। इसलिए, आवेदन संरक्षण वह है जो आपको करने की आवश्यकता है, न कि मामले से मामले में, बल्कि लगातार।

प्रिय पाठकों! आप गो में लिखे गए अपने अनुप्रयोगों की सुरक्षा कैसे करते हैं?