🛅 🥞 👨🏿‍🤝‍👨🏾 गो के लिए 6 सर्वश्रेष्ठ सुरक्षा अभ्यास ⚜️ 👩‍👧‍👦 📭

लेख का एक अनुवाद विशेष रूप से गोलंग डेवलपर पाठ्यक्रम के छात्रों के लिए तैयार किया गया था ।

हाल के वर्षों में गोलंग की लोकप्रियता में काफी वृद्धि हुई है। डोकर , कुबेरनेट्स और टेराफॉर्म जैसी सफल परियोजनाओं ने इस प्रोग्रामिंग भाषा पर एक बड़ा दांव लगाया है । जाओ हाल ही में कमांड लाइन उपकरण बनाने के लिए वास्तविक मानक बन गया है। सुरक्षा के संदर्भ में, गो ने अपनी भेद्यता रिपोर्ट के अनुसार सफलतापूर्वक प्रबंधित किया है, जिसके पास 2002 से केवल एक सीवीई रजिस्ट्री है ।

हालांकि, कमजोरियों की अनुपस्थिति का मतलब यह नहीं है कि प्रोग्रामिंग भाषा अत्यधिक सुरक्षित है। यदि हम कुछ नियमों का पालन नहीं करते हैं तो हम मनुष्य असुरक्षित एप्लिकेशन बना सकते हैं। उदाहरण के लिए, OWASP से सुरक्षित कोड लिखने के नियमों को जानना, हम गो का उपयोग करते समय इन तरीकों को लागू करने के बारे में सोच सकते हैं। और इस बार मैं ठीक यही करूंगा। इस पोस्ट में, मैं आपको गो के साथ विकसित होने पर विचार करने के लिए छह अभ्यास दिखाऊंगा।

1. इनपुट की जाँच करें

उपयोगकर्ता इनपुट की जांच करना न केवल कार्यात्मक उद्देश्यों के लिए आवश्यक है, यह साइबर अपराधियों द्वारा हमलों से बचने में भी मदद करता है जो हमें घुसपैठ डेटा भेजते हैं जो सिस्टम को नुकसान पहुंचा सकते हैं। इसके अलावा, आप उपयोगकर्ताओं को इस उपकरण का उपयोग अधिक आत्मविश्वास से करने में मदद करते हैं, जिससे वे मूर्खतापूर्ण और सामान्य गलतियाँ करने से रोकते हैं। उदाहरण के लिए, आप किसी उपयोगकर्ता को एक साथ कई प्रविष्टियों को हटाने की कोशिश करने से रोक सकते हैं।

उपयोगकर्ता इनपुट का परीक्षण करने के लिए, आप स्ट्रिंग को अन्य डेटा प्रकारों में कनवर्ट करने के लिए strconv जैसे देशी गो पैकेज का उपयोग कर सकते हैं। गो भी regexpजटिल जाँच के लिए नियमित भाव का समर्थन करता है। यद्यपि गो देशी नेटवर्क्स का उपयोग करना पसंद करते हैं, लेकिन थर्ड-पार्टी पैकेज जैसे कि वैधीटर हैं। सत्यापनकर्ता के साथ, आप संरचनाओं या व्यक्तिगत क्षेत्रों के लिए सत्यापन को अधिक आसानी से सक्षम कर सकते हैं। उदाहरण के लिए, निम्न कोड सत्यापित करता है कि संरचना Userमें एक मान्य ईमेल पता है:

package main

import (
	"fmt"

	"gopkg.in/go-playground/validator.v9"
)

type User struct {
	Email string `json:"email" validate:"required,email"`
	Name  string `json:"name" validate:"required"`
}

func main() {
	v := validator.New()
	a := User{
		Email: "a",
	}

	err := v.Struct(a)

	for _, e := range err.(validator.ValidationErrors) {
		fmt.Println(e)
	}
}

2. HTML टेम्पलेट का उपयोग करें

एक सामान्य महत्वपूर्ण भेद्यता क्रॉस-साइट स्क्रिप्टिंग या XSS है। मुख्य शोषण यह है कि एक हमलावर आउटपुट को संशोधित करने के लिए दुर्भावनापूर्ण कोड को एप्लिकेशन में इंजेक्ट कर सकता है। उदाहरण के लिए, कोई URL में क्वेरी स्ट्रिंग के भाग के रूप में जावास्क्रिप्ट कोड भेज सकता है। जब एप्लिकेशन उपयोगकर्ता का मूल्य लौटाता है, तो जावास्क्रिप्ट कोड निष्पादित किया जा सकता है। इसलिए, एक डेवलपर के रूप में, आपको इस संभावना के बारे में पता होना चाहिए और उपयोगकर्ता द्वारा दर्ज किए गए डेटा को साफ़ करना चाहिए।

गो के पास एक html / टेम्प्लेट पैकेज है, जो यह बताता है कि एप्लिकेशन उपयोगकर्ता को क्या देता है। इस प्रकार, ब्राउज़र के बजाय इनपुट की तरह<script>alert(‘ !’);</script>वह चेतावनी देगा; आप इनपुट को एन्कोड कर सकते हैं, और एप्लिकेशन इनपुट को एक ब्राउज़र में प्रिंट किए गए विशिष्ट HTML कोड के रूप में प्रोसेस करेगा। एक एचटीएमएल टेम्पलेट लौटाने वाला एक HTTP सर्वर इस तरह दिखेगा:

package main

import (
	"html/template"
	"net/http"
)

func handler(w http.ResponseWriter, r *http.Request) {
	param1 := r.URL.Query().Get("param1")
	tmpl := template.New("hello")
	tmpl, _ = tmpl.Parse(`{{define "T"}}{{.}}{{end}}`)
	tmpl.ExecuteTemplate(w, "T", param1)
}
func main() {
	http.HandleFunc("/", handler)
	http.ListenAndServe(":8080", nil)
}

लेकिन तीसरे पक्ष के पुस्तकालय हैं जिनका उपयोग आप गो पर वेब एप्लिकेशन विकसित करते समय कर सकते हैं। उदाहरण के लिए, गोरिल्ला वेब टूलकिट , जिसमें डेवलपर्स को कुकी प्रमाणीकरण प्रमाणीकरण जैसी चीजें करने में मदद करने के लिए पुस्तकालय शामिल हैं। इसमें nosurf भी है , जो एक HTTP पैकेज है जो क्रॉस-साइट अनुरोध जालसाजी ( CSRF ) को रोकने में मदद करता है ।

3. एसक्यूएल इंजेक्शन से खुद को बचाएं

यदि आप कुछ समय से विकास कर रहे हैं, तो आप SQL इंजेक्शन के बारे में जान सकते हैं, जो अभी भी OWASP शीर्ष में पहले स्थान पर है । हालाँकि, कुछ विशिष्ट बिंदु हैं जिन पर आपको गो का उपयोग करते समय विचार करना चाहिए। पहली चीज जो आपको करने की ज़रूरत है वह यह सुनिश्चित करें कि डेटाबेस से जुड़ने वाले उपयोगकर्ता के पास सीमित अधिकार हैं। उपयोगकर्ता इनपुट को साफ करने के लिए भी अच्छा अभ्यास है, जैसा कि मैंने पिछले अनुभाग में बताया था, या विशेष वर्णों से बचने और HTML टेम्पलेट पैकेज से HTMLEscapeString फ़ंक्शन का उपयोग करने के लिए ।

लेकिन कोड का सबसे महत्वपूर्ण टुकड़ा जिसे आपको शामिल करने की आवश्यकता है, वह पैरामीटरयुक्त प्रश्नों का उपयोग है। गो में, आप एक अभिव्यक्ति तैयार नहीं करते हैं (यह एक तैयार वक्तव्य है) कनेक्शन में; आप इसे डेटाबेस में तैयार करते हैं। यहां पैरामीटरयुक्त प्रश्नों का उपयोग करने का एक उदाहरण दिया गया है:

customerName := r.URL.Query().Get("name")
db.Exec("UPDATE creditcards SET name=? WHERE customerId=?", customerName, 233, 90)

हालांकि, क्या होगा यदि डेटाबेस इंजन तैयार अभिव्यक्तियों के उपयोग का समर्थन नहीं करता है? या क्या होगा अगर यह क्वेरी प्रदर्शन को प्रभावित करता है? ठीक है, आप db.Query () फ़ंक्शन का उपयोग कर सकते हैं, लेकिन पहले सुनिश्चित करें कि आप उपयोगकर्ता इनपुट को सुरक्षित कर लें, जैसा कि पिछले अनुभागों में दिखाया गया है। SQL इंजेक्शन को रोकने के लिए sqlmap जैसे तृतीय-पक्ष लाइब्रेरी भी हैं ।

हमारे सभी प्रयासों के बावजूद, कभी-कभी कमजोरियां तीसरे पक्ष के माध्यम से हमारे आवेदनों को खिसकाती हैं या दर्ज करती हैं। अपने वेब अनुप्रयोगों को एसक्यूएल इंजेक्शन जैसे महत्वपूर्ण हमलों से बचाने के लिए, सिकरीन जैसे एप्लिकेशन सुरक्षा प्रबंधन प्लेटफ़ॉर्म का उपयोग करने पर विचार करें ।

4. संवेदनशील जानकारी को एन्क्रिप्ट करें

यह तथ्य कि स्ट्रिंग को पढ़ना मुश्किल है, उदाहरण के लिए, बेस -64 प्रारूप में, इसका मतलब यह नहीं है कि छिपा हुआ मूल्य गुप्त है। आपको जानकारी को एन्क्रिप्ट करने के लिए एक तरीका चाहिए जो हमलावर आसानी से डिकोड नहीं कर सकते। विशिष्ट जानकारी जिसे आप एन्क्रिप्ट करना चाहते हैं, वह है डेटाबेस पासवर्ड, उपयोगकर्ता पासवर्ड या यहां तक कि सामाजिक सुरक्षा नंबर।

OWASP कई है सिफारिशों क्या एन्क्रिप्शन एल्गोरिदम, इस्तेमाल किया उदाहरण के लिए, पर bcrypt, PDKDF2, Argon2या scrypt। सौभाग्य से, एक गो पैकेज है जिसमें एन्क्रिप्टिंग जानकारी के लिए विश्वसनीय कार्यान्वयन शामिल हैं - क्रिप्टो । निम्नलिखित कोड एक उदाहरण का उपयोग है bcrypt:

package main

import (
	"database/sql"
	"context"
	"fmt"

	"golang.org/x/crypto/bcrypt"
)

func main() {
	ctx := context.Background()
	email := []byte("john.doe@somedomain.com")
	password := []byte("47;u5:B(95m72;Xq")

	hashedPassword, err := bcrypt.GenerateFromPassword(password, bcrypt.DefaultCost)
	if err != nil {
		panic(err)
	}

	stmt, err := db.PrepareContext(ctx, "INSERT INTO accounts SET hash=?, email=?")
	if err != nil {
		panic(err)
	}
	result, err := stmt.ExecContext(ctx, hashedPassword, email)
	if err != nil {
		panic(err)
	}
}

कृपया ध्यान दें कि सेवाओं के बीच जानकारी स्थानांतरित करते समय आपको अभी भी सावधानी बरतने की आवश्यकता है। आप सादे पाठ में उपयोगकर्ता डेटा नहीं भेजना चाहेंगे। यदि एप्लिकेशन सहेजने से पहले उपयोगकर्ता डेटा को एन्क्रिप्ट करता है, तो इससे कोई फर्क नहीं पड़ता। मान लीजिए कि इंटरनेट पर कोई व्यक्ति आपके ट्रैफ़िक को सुन सकता है और आपके सिस्टम के अनुरोधों को लॉग कर सकता है। एक हमलावर इस जानकारी का उपयोग अन्य प्रणालियों के अन्य डेटा के साथ मिलान करने के लिए कर सकता है।

5. HTTPS कनेक्टिविटी प्रदान करें

वर्तमान में अधिकांश ब्राउज़रों को हर साइट पर काम करने के लिए HTTPS की आवश्यकता होती है। उदाहरण के लिए, यदि साइट HTTPS का उपयोग नहीं करती है तो क्रोम आपको एक चेतावनी दिखाएगा। सूचना सुरक्षा विभाग एक नीति के रूप में सेवाओं के बीच संचार के लिए पारगमन एन्क्रिप्शन का उपयोग कर सकता है। यही है, सिस्टम में ट्रांज़िट कनेक्शन की सुरक्षा सुनिश्चित करने के लिए, यह केवल पोर्ट 443 पर एप्लिकेशन को सुनने के बारे में नहीं है। आपको प्रोटोकॉल को HTTP पर अपग्रेड करने से हमलावरों को रोकने के लिए उचित प्रमाणपत्र का उपयोग करने और HTTPS का उपयोग करने की भी आवश्यकता है।

यहां एक वेब एप्लिकेशन के लिए कोड का एक स्निपेट है जो HTTPS प्रोटोकॉल प्रदान करता है और उसका उपयोग करता है:

package main

import (
    "crypto/tls"
    "log"
    "net/http"
)

func main() {
    mux := http.NewServeMux()
    mux.HandleFunc("/", func(w http.ResponseWriter, req *http.Request) {
        w.Header().Add("Strict-Transport-Security", "max-age=63072000; includeSubDomains")
        w.Write([]byte("This is an example server.\n"))
    })
    cfg := &tls.Config{
        MinVersion:               tls.VersionTLS12,
        CurvePreferences:         []tls.CurveID{tls.CurveP521, tls.CurveP384, tls.CurveP256},
        PreferServerCipherSuites: true,
        CipherSuites: []uint16{
            tls.TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
            tls.TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
            tls.TLS_RSA_WITH_AES_256_GCM_SHA384,
            tls.TLS_RSA_WITH_AES_256_CBC_SHA,
        },
    }
    srv := &http.Server{
        Addr:         ":443",
        Handler:      mux,
        TLSConfig:    cfg,
        TLSNextProto: make(map[string]func(*http.Server, *tls.Conn, http.Handler), 0),
    }
    log.Fatal(srv.ListenAndServeTLS("tls.crt", "tls.key"))
}

ध्यान दें कि एप्लिकेशन पोर्ट 443 पर सुनेगा। अगली पंक्ति वह रेखा है जो HTTPS कॉन्फ़िगरेशन प्रदान करती है:

w.Header().Add("Strict-Transport-Security", "max-age=63072000; includeSubDomains")

आप इस तरह से टीएलएस कॉन्फ़िगरेशन में सर्वर का नाम भी निर्दिष्ट कर सकते हैं:

config := &tls.Config{ServerName: "yourSiteOrServiceName"}

यह हमेशा अनुशंसा की जाती है कि आप बैक-एंड एन्क्रिप्शन का उपयोग करें, भले ही आपका वेब एप्लिकेशन केवल आंतरिक संचार के लिए हो। कल्पना कीजिए कि किसी कारण से कोई हमलावर आपके आंतरिक ट्रैफ़िक को सुन सकता है। जब भी संभव हो, संभावित भविष्य के हमलावरों के लिए बार उठाना सबसे अच्छा है।

6. त्रुटियों और लॉग पर ध्यान दें।

अंतिम, लेकिन कम से कम, त्रुटि और अपने गो अनुप्रयोगों में लॉगिंग।

उत्पादन के मुद्दों का सफलतापूर्वक निवारण करने के लिए, आपको अपने अनुप्रयोगों को ठीक से कॉन्फ़िगर करने की आवश्यकता है। आपको उपयोगकर्ताओं को दिखाई जाने वाली त्रुटियों को ध्यान में रखना चाहिए। आप उपयोगकर्ताओं को यह जानना नहीं चाहेंगे कि वास्तव में क्या गलत हुआ। हमलावर इस जानकारी का उपयोग यह निर्धारित करने के लिए कर सकते हैं कि आप किन सेवाओं और तकनीकों का उपयोग करते हैं। इसके अलावा, आपको याद रखना चाहिए कि यद्यपि लॉग अद्भुत हैं, वे कहीं संग्रहीत हैं। और अगर लॉग गलत हाथों में आते हैं, तो उन्हें सिस्टम में आगामी हमले को एम्बेड करने के लिए उपयोग किया जा सकता है।

तो, पहली चीज जो आपको सीखने या याद रखने की ज़रूरत है वह यह है कि गो के लिए कोई अपवाद नहीं हैं। इसका मतलब है कि आपको अन्य भाषाओं की तुलना में त्रुटियों को अलग तरीके से संभालने की आवश्यकता है। मानक इस तरह दिखता है:

if err != nil {
    //  
}

गो भी लॉग के साथ काम करने के लिए एक अंतर्निहित पुस्तकालय प्रदान करता है। सबसे सरल कोड इस तरह दिखता है:

package main

import (
	"log"
)

func main() {
	log.Print("Logging in Go!")
}

लेकिन लॉग बनाए रखने के लिए तीसरे पक्ष के पुस्तकालय हैं। इनमें से कुछ हैं logrus, glogऔर loggo। यहाँ कोड का एक छोटा सा स्निपेट उपयोग किया गया है logrus:

package main

import (
	"os"

	log "github.com/sirupsen/logrus"
)

func main() {
	file, err := os.OpenFile("info.log", os.O_CREATE|os.O_APPEND, 0644)
	if err != nil {
		log.Fatal(err)
	}

	defer file.Close()

	log.SetOutput(file)
	log.SetFormatter(&log.JSONFormatter{})
	log.SetLevel(log.WarnLevel)

	log.WithFields(log.Fields{
		"animal": "walrus",
		"size":   10,
	}).Info("A group of walrus emerges from the ocean")
}

अंत में, सुनिश्चित करें कि आप पिछली सभी सिफारिशों को लागू करते हैं, जैसे कि डेटा और एन्क्रिप्शन जो कि आप लॉग में डालते हैं।

बढ़ने के लिए हमेशा जगह होती है

ये दिशानिर्देश न्यूनतम हैं जो आपके गो अनुप्रयोगों के लिए विशिष्ट होने चाहिए। हालाँकि, यदि आपका एप्लिकेशन कमांड लाइन टूल है, तो आपको ट्रांज़िट के लिए एन्क्रिप्शन विधियों की आवश्यकता नहीं होगी। लेकिन बाकी सुरक्षा युक्तियाँ लगभग सभी प्रकार के अनुप्रयोगों पर लागू होती हैं। यदि आप अधिक जानना चाहते हैं, तो विशेष रूप से कुछ विषयों में जाने वाले गो के लिए OWASP की एक पुस्तक है । गो में चौखटे, पुस्तकालयों और अन्य सुरक्षा उपकरणों के लिंक वाले एक भंडार भी है ।

कोई फर्क नहीं पड़ता कि आप क्या कर रहे हैं, याद रखें कि आप हमेशा अपने आवेदन की सुरक्षा बढ़ा सकते हैं। हमलावर हमेशा कमजोरियों का फायदा उठाने के नए तरीके खोजेंगे, इसलिए अपने एप्लिकेशन की सुरक्षा पर लगातार काम करने की कोशिश करें।

. — , , , .NET, Node.js Java, Docker.

.

गो के लिए 6 सर्वश्रेष्ठ सुरक्षा अभ्यास