Waffle の紹介: Go アプリケーション用のアプリ内 WAF
導入
Web アプリケーション ファイアウォール (WAF) は、Web アプリケーションを保護するための標準的なセキュリティ ソリューションとして長い間使用されてきました。 AWS WAF や Cloudflare WAF などのクラウドベースの WAF は、実装が簡単なため特に人気があります。ただし、いくつかの課題があります:
- アプリケーションのコンテキストについての理解が限定的
- 誤検知率が高い
- 制限されたカスタム ロジックの実装
これらの課題に対処するために、アプリ内 WAF または RASP (Runtime Application Self-Protection) と呼ばれる新しいアプローチが注目を集めています。
この投稿では、アプリ内 WAF 機能を Go Web アプリケーションに統合するためのライブラリである Waffle を紹介します。
- https://sitebatch.github.io/waffle-website
- https://github.com/sitebatch/waffle-go
アプリ内WAF/RASPとは何ですか?
アプリ内 WAF/RASP は、既存のクラウド WAF を置き換えることを目的としたものではなく、WAF 機能をアプリケーションに直接埋め込んで保護を強化することでクラウド WAF を補完することを目的としています。
SQL インジェクションや XSS などの一般的な Web アプリケーション攻撃だけでなく、資格情報スタッフィングやブルート フォース攻撃などのアプリケーション ビジネス ロジック攻撃も処理できます。
主な利点は、完全なリクエスト コンテキスト認識による正確な検出と防止です。
ブログ投稿を作成するための次の HTTP リクエストについて考えてみましょう:
POST /blog/post HTTP/1.1
...
{
"title": "What is SQL ?"
"body": "SQL example code: `SELECT * FROM users` ..."
}
アプリケーションがプレースホルダーを使用して SQL ステートメントを安全に構築する場合、SQL インジェクションは不可能です。ただし、パターン マッチングに依存するクラウドベースの WAF は、このリクエストに疑わしい SQL のようなパターンが含まれているため、このリクエストをブロックします (文字列 SELECT * FROM は SQL インジェクションの懸念を引き起こします)。
開発者は、こうした誤検知を減らすためにパラメータ、エンドポイント、または WAF ルールを調整するという面倒な作業を行うことがよくあります。なんて面倒な作業でしょう!
対照的に、アプリ内 WAF / RASP はリクエストのコンテキストを理解します。プレースホルダーが使用されていないことを認識し、「SQL インジェクションが実際に可能である」場合にのみ攻撃をブロックします。このコンテキスト認識型のアプローチにより、誤検知が減少し、ゼロデイ脆弱性の軽減にも役立ちます。
Go アプリケーションでの Waffle を使用したアプリ内 WAF / RASP の実装
Waffle は、Go Web アプリケーションでアプリ内 WAF / RASP 機能を有効にするライブラリです。
Waffle をアプリケーションに統合する方法と、それがどのように攻撃を防ぐかを見てみましょう。
応用例
この例では標準ライブラリの net/http を使用していますが、Waffle は、Gin や GORM などの他のライブラリもサポートしています。
詳細については、サポートされているライブラリのドキュメントを確認してください。
次のアプリケーションには、/login エンドポイントに SQL インジェクションの脆弱性があります:
POST /blog/post HTTP/1.1
...
{
"title": "What is SQL ?"
"body": "SQL example code: `SELECT * FROM users` ..."
}
package main
import (
"context"
"database/sql"
"fmt"
"net/http"
_ "github.com/mattn/go-sqlite3"
)
var database *sql.DB
func init() {
setupDB()
}
func newHTTPHandler() http.Handler {
mux := http.NewServeMux()
mux.Handle("/login", http.HandlerFunc(loginController))
return mux
}
func main() {
srv := &http.Server{
Addr: ":8000",
Handler: newHTTPHandler(),
}
srv.ListenAndServe()
}
func loginController(w http.ResponseWriter, r *http.Request) {
email := r.FormValue("email")
password := r.FormValue("password")
if err := login(r.Context(), email, password); err != nil {
http.Error(w, err.Error(), http.StatusInternalServerError)
return
}
w.Write([]byte("Login success"))
}
func login(ctx context.Context, email, password string) error {
// ⚠️ SQL INJECTION VULNERABILITY
rows, err := database.QueryContext(ctx, fmt.Sprintf("SELECT * FROM users WHERE email = '%s' AND password = '%s'", email, password))
if err != nil {
return err
}
defer rows.Close()
if !rows.Next() {
return fmt.Errorf("invalid email or password")
}
// do something
return nil
}
func setupDB() {
db, err := sql.Open("sqlite3", "file::memory:?cache=shared")
if err != nil {
panic(err)
}
if _, err := db.Exec("CREATE TABLE users(id int, email text, password text);"); err != nil {
panic(err)
}
if _, err := db.Exec("INSERT INTO users(id, email, password) VALUES(1, 'user@example.com', 'password');"); err != nil {
panic(err)
}
database = db
}
Waffle を統合して SQL インジェクションを防止する
SQL インジェクションを防ぐために Waffle を統合しましょう:
$ go run .
# SQL injection attack
$ curl -i -X POST 'http://localhost:8000/login' \
--data "email=user@example.com' OR 1=1--&password="
HTTP/1.1 200 OK
Date: Sun, 05 Jan 2025 10:32:50 GMT
Content-Length: 13
Content-Type: text/plain; charset=utf-8
Login success
main.go を次のように変更します。
$ go get github.com/sitebatch/waffle-go
変更は最小限です:
package main
import (
"context"
"database/sql"
"errors"
"fmt"
"net/http"
"github.com/sitebatch/waffle-go"
"github.com/sitebatch/waffle-go/action"
waffleSQL "github.com/sitebatch/waffle-go/contrib/database/sql"
waffleHTTP "github.com/sitebatch/waffle-go/contrib/net/http"
_ "github.com/mattn/go-sqlite3"
)
var database *sql.DB
func init() {
setupDB()
}
func newHTTPHandler() http.Handler {
mux := http.NewServeMux()
mux.Handle("/login", http.HandlerFunc(loginController))
handler := waffleHTTP.WafMiddleware(mux)
return handler
}
func main() {
srv := &http.Server{
Addr: ":8000",
Handler: newHTTPHandler(),
}
// Start waffle with debug mode
waffle.Start(waffle.WithDebug())
srv.ListenAndServe()
}
func loginController(w http.ResponseWriter, r *http.Request) {
email := r.FormValue("email")
password := r.FormValue("password")
if err := login(r.Context(), email, password); err != nil {
var actionErr *action.BlockError
if errors.As(err, &actionErr) {
return
}
http.Error(w, err.Error(), http.StatusInternalServerError)
return
}
w.Write([]byte("Login success"))
}
func login(ctx context.Context, email, password string) error {
// ⚠️ SQL INJECTION VULNERABILITY
rows, err := database.QueryContext(ctx, fmt.Sprintf("SELECT * FROM users WHERE email = '%s' AND password = '%s'", email, password))
if err != nil {
return err
}
defer rows.Close()
if !rows.Next() {
return fmt.Errorf("invalid email or password")
}
// do something
return nil
}
func setupDB() {
db, err := waffleSQL.Open("sqlite3", "file::memory:?cache=shared")
if err != nil {
panic(err)
}
if _, err := db.Exec("CREATE TABLE users(id int, email text, password text);"); err != nil {
panic(err)
}
if _, err := db.Exec("INSERT INTO users(id, email, password) VALUES(1, 'user@example.com', 'password');"); err != nil {
panic(err)
}
database = db
}
SQL インジェクション攻撃を試みると、Waffle がそれをブロックします。
diff --git a/main.go b/main.go
index 90b8197..9fefb06 100644
--- a/main.go
+++ b/main.go
@@ -3,9 +3,15 @@ package main
import (
"context"
"database/sql"
+ "errors"
"fmt"
"net/http"
+ "github.com/sitebatch/waffle-go"
+ "github.com/sitebatch/waffle-go/action"
+ waffleSQL "github.com/sitebatch/waffle-go/contrib/database/sql"
+ waffleHTTP "github.com/sitebatch/waffle-go/contrib/net/http"
+
_ "github.com/mattn/go-sqlite3"
)
@@ -19,7 +25,9 @@ func newHTTPHandler() http.Handler {
mux := http.NewServeMux()
mux.Handle("/login", http.HandlerFunc(loginController))
- return mux
+ handler := waffleHTTP.WafMiddleware(mux)
+
+ return handler
}
func main() {
@@ -28,6 +36,9 @@ func main() {
Handler: newHTTPHandler(),
}
+ // Start waffle with debug mode
+ waffle.Start(waffle.WithDebug())
+
srv.ListenAndServe()
}
@@ -36,6 +47,11 @@ func loginController(w http.ResponseWriter, r *http.Request) {
password := r.FormValue("password")
if err := login(r.Context(), email, password); err != nil {
+ var actionErr *action.BlockError
+ if errors.As(err, &actionErr) {
+ return
+ }
+
http.Error(w, err.Error(), http.StatusInternalServerError)
return
}
@@ -60,7 +76,7 @@ func login(ctx context.Context, email, password string) error {
}
func setupDB() {
- db, err := sql.Open("sqlite3", "file::memory:?cache=shared")
+ db, err := waffleSQL.Open("sqlite3", "file::memory:?cache=shared")
if err != nil {
panic(err)
}
この HTML は、waffle によってデフォルトで返されるエラー メッセージで、次のようになります。
プレースホルダーを使用する場合:
プレースホルダーを使用すると、Waffle は SQL インジェクションが不可能であることを認識し、リクエストをブロックしません。
$ curl -i -X POST 'http://localhost:8000/login' \
--data "email=user@example.com' OR 1=1--&password=" -i
HTTP/1.1 403 Forbidden
Date: Sun, 05 Jan 2025 10:38:22 GMT
Content-Length: 1574
Content-Type: text/html; charset=utf-8
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Access Denied</title>
# Fix SQL injection vulnerability
diff --git a/main.go
b/main.go
index 9fefb06..5b482f2 100644
--- a/main.go
+++ b/main.go
@@ -60,7 +60,7 @@ func loginController(w http.ResponseWriter, r *http.Request) {
}
func login(ctx context.Context, email, password string) error {
- rows, err := database.QueryContext(ctx, fmt.Sprintf("SELECT * FROM users WHERE email = '%s' AND password = '%s'", email, password))
+ rows, err := database.QueryContext(ctx, "SELECT * FROM users WHERE email = ? AND password = ?", email, password)
if err != nil {
return err
}
この場合でも、Waffle はクラウドベースの WAF と同様に、試行された SQL インジェクションを検出できることに注意してください (ブロックはしませんが)。
# Waffle won't block the request since SQL injection isn't possible
$ curl -i -X POST 'http://localhost:8000/login' \
--data "email=user@example.com' OR 1=1--&password="
HTTP/1.1 500 Internal Server Error
Content-Type: text/plain; charset=utf-8
X-Content-Type-Options: nosniff
Date: Sun, 05 Jan 2025 10:49:05 GMT
Content-Length: 26
invalid email or password
Waffle によって検出および防止される攻撃
SQL インジェクションの防止を実証しましたが、Waffle はさまざまな攻撃を検出して防止できます。
- 既知のセキュリティスキャナーによる偵察
- ディレクトリトラバーサル
- XSS
- SQL インジェクション
- 機密ファイルへのアクセス
- SSRF
- アカウント乗っ取り
詳細については、ルール リストのドキュメントを参照してください。
ルールは継続的に更新され、貢献は歓迎されます。
結論
Waffle をアプリケーションに統合することで、攻撃を正確に検出して防止できます。
フレームワーク固有の実装ガイドと詳細な使用手順については、ドキュメントの「ガイド」セクションを参照してください。
ワッフルは鋭意開発中です。フィードバックや貢献を歓迎します。
- https://github.com/sitebatch/waffle-go
以上がWaffle の紹介: Go アプリケーション用のアプリ内 WAFの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
Video Face Swap
完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。
人気の記事
ホットツール
メモ帳++7.3.1
使いやすく無料のコードエディター
SublimeText3 中国語版
中国語版、とても使いやすい
ゼンドスタジオ 13.0.1
強力な PHP 統合開発環境
ドリームウィーバー CS6
ビジュアル Web 開発ツール
SublimeText3 Mac版
神レベルのコード編集ソフト(SublimeText3)
ホットトピック
1668
14
1428
52
1329
25
1273
29
1256
24
Golang vs. Python:パフォーマンスとスケーラビリティ
Apr 19, 2025 am 12:18 AM
Golangは、パフォーマンスとスケーラビリティの点でPythonよりも優れています。 1)Golangのコンピレーションタイプの特性と効率的な並行性モデルにより、高い並行性シナリオでうまく機能します。 2)Pythonは解釈された言語として、ゆっくりと実行されますが、Cythonなどのツールを介してパフォーマンスを最適化できます。
Golang and C:Concurrency vs. Raw Speed
Apr 21, 2025 am 12:16 AM
Golangは並行性がCよりも優れていますが、Cは生の速度ではGolangよりも優れています。 1)Golangは、GoroutineとChannelを通じて効率的な並行性を達成します。これは、多数の同時タスクの処理に適しています。 2)Cコンパイラの最適化と標準ライブラリを介して、極端な最適化を必要とするアプリケーションに適したハードウェアに近い高性能を提供します。
ゴーを始めましょう:初心者のガイド
Apr 26, 2025 am 12:21 AM
goisidealforforbeginnersandsutable forcloudnetworkservicesduetoitssimplicity、andconcurrencyfeatures.1)installgofromtheofficialwebsiteandverify with'goversion'.2)
Golang vs. C:パフォーマンスと速度の比較
Apr 21, 2025 am 12:13 AM
Golangは迅速な発展と同時シナリオに適しており、Cは極端なパフォーマンスと低レベルの制御が必要なシナリオに適しています。 1)Golangは、ごみ収集と並行機関のメカニズムを通じてパフォーマンスを向上させ、高配列Webサービス開発に適しています。 2)Cは、手動のメモリ管理とコンパイラの最適化を通じて究極のパフォーマンスを実現し、埋め込みシステム開発に適しています。
Golangの影響:速度、効率、シンプルさ
Apr 14, 2025 am 12:11 AM
speed、効率、およびシンプル性をspeedsped.1)speed:gocompilesquilesquicklyandrunseffictient、理想的なlargeprojects.2)効率:等系dribribraryreducesexexternaldedenciess、開発効果を高める3)シンプルさ:
CとGolang:パフォーマンスが重要な場合
Apr 13, 2025 am 12:11 AM
Cは、ハードウェアリソースと高性能の最適化が必要なシナリオにより適していますが、Golangは迅速な開発と高い並行性処理が必要なシナリオにより適しています。 1.Cの利点は、ハードウェア特性と高い最適化機能に近いものにあります。これは、ゲーム開発などの高性能ニーズに適しています。 2.Golangの利点は、その簡潔な構文と自然な並行性サポートにあり、これは高い並行性サービス開発に適しています。
Golang vs. Python:重要な違いと類似点
Apr 17, 2025 am 12:15 AM
GolangとPythonにはそれぞれ独自の利点があります。Golangは高性能と同時プログラミングに適していますが、PythonはデータサイエンスとWeb開発に適しています。 Golangは同時性モデルと効率的なパフォーマンスで知られていますが、Pythonは簡潔な構文とリッチライブラリエコシステムで知られています。
GolangとC:パフォーマンスのトレードオフ
Apr 17, 2025 am 12:18 AM
GolangとCのパフォーマンスの違いは、主にメモリ管理、コンピレーションの最適化、ランタイム効率に反映されています。 1)Golangのゴミ収集メカニズムは便利ですが、パフォーマンスに影響を与える可能性があります。
