Безопасность в Golang | Навыки
Вставка
- Опубліковано 8 чер 2024
- В этом видео мы расскажем про самые популярные уязвимости в контексте Golang. Покажем как их избежать и как их могут использовать.
Чтобы найти подходящего ментора переходите в нашего бота: t.me/skills_mentee_bot?start=...
Лекцию ведет Антон Сулаев
- Работает в VK, в Почте Mail.Ru
- Руководитель команды Core Backend
- Опыт разработки на Golang 5 лет
Код из видео доступен на GitHub: github.com/skinass/go-sec
0:00 - Вступление
3:29 - SQL-Injection
9:02 - Пароли
21:00 - HTTP, HTTPS, PKI
32:42 - XSS(cross site scripting)
41:49 - Логи
46:58 - Секреты
50:18 - PPROF
53:34 - RCE и зависимости(remote code execution)
58:57 - SSRF(server side request forgery)
1:04:07 - GZIP и сжатие
1:07:35 - Evilarc
1:13:25 - CSRF(cross site request forgery) - Розваги
Приятная подача материала, хорошо спланированная лекция. Все показанное, кроме трюка с zip, знаю, понимаю, использую или опасаюсь. Спасибо за хорошее видео, получил удовольствие от просмотра.
За троллинг с логином и паролем отдельный респект!
Тем не менее, Вы показали плохой пример начинающим. Антон, во всех своих примерах Вы использовали DefaultServeMux от net/http в неявном виде при назначении маршрутов, а затем при вызове ListenAndServe передавали nil вместо ServeMux, что приводит к использованию DefaultServeMux в явном виде. Это дыра в безопасности сервера, так как позволяет любой подключаемой зависимости менять маршруты и хэндлеры в вашей системе роутинга.
Для защиты от такого вмешательства нужно: переменную с ServeMux создавать явно, передавать её в листенер вместо nil и переменная должна быть приватной, даже если она является частью какой-то структуры.
Я так понимаю, это и есть ошибка на 30к таллеров. Где я могу получить денюшку?
Дякую, все дуже зрозуміло, чітко і ясно.
Отличное видео. Антону огромное спасибо за качественный и полезный контент!
Побольше таких видео! Сделайте серию видео о безопасности, и как можно подробнее. Большое спасибо!
Огромная благодарность, все понятно, интересно!
Блин, крутой видос. Что-то помнил, что-то слышал, что-то не знал, но очень интересно)
Спасибо за видео. Коммент в поддержку!
Спасибо, очень полезное видео
да, я хочу продолжения, и да я не знаю о чем спрашивать, наверное если бы знал, то не просил продолжения
Спасибо за видос! Троллинг с логином и паролем на стикере 😂
Какие плагины используете для VSCode? И почему не Goland?
Это просто офигенно
Вроде все знакомо, но в целом собрать все в кучу иногда полезно, даже в базовых вещах. Будет круто второй видос сделать с чем то более интересным. Понятно что на стороне приложения не от всего можно защититься, но вы так же затронули и защиту со стороны инфраструктуры все равно это было бы очень интересно. Атаки dns, различные варианты атаки амплификацией, затопления, подмена рутового сертификата, и тд и тп. В любом случае спасибо! PS Все же у Чичваркина серьга круче! Всем добра!
ну Антон конечно приколист)
Спасибо
Братан, хорош, давай, давай, вперёд! Контент в кайф, можно ещё? Вообще красавчик!
спасибо, интересно, полезно.
на ноуте стикер приклеен с логин/паролем, они настоящие? ))
Просто чувак с юмором)
это конечно же пасхалка, но спасибо, что заметили)
Это все хорошо, только вот непонятно причем тут Go?
Супер видео, а есть ссылочка на репу?
Да, в описании видео все есть)
29:35 "мы отравляем его в, допустим, Let's Encrypt и спрашиваем, а действительно ли этот public key соответствует вот этому домену" - вообще-то нет. мы никуда его не отправляем. Мы используем локальные копии CA сертификатов чтобы проверить действительно ли сертификат сервера подписан, скажем, Let's Encrypt-ом и что мы можем доверять его, сертификата сервера, метадате - домену, датам валидности и т.п.
а есть какие-то статические анализаторы мощные, которые бы эти уязвимости детектили ещё на этапе линтера? gosec наругался только на необработанные ошибки, остальное просвистело мимо
А если man in the middle по дороге к CA и он присылает ответ, что да, серт соответствует ?😂
там в брауезере вшиты асиметричные ключи расшифровки ответов от CA; предпологается, что человек посередине не знает асимтричный ключ шифрования от CA. Если у CA утекли его ключи - тогда печаль-беда.
это советы из 2007 или 2010 года?
Дай совет из 2022 года
добрейшего вечера, коллега!
сложилось впечатление, что ваш вопрос адресован автору ролика и так вышло, что человек на видео - это я, поэтому постараюсь ответить:
это видео сразу из 2007ого и из 2010ого, а если погуглить последний отчет owasp top 10, то станет понятно, что оно даже из 2022ого, ведь, как говорили классики, «война никогда не меняется». индустрия растет и в нее продолжают приходить новые люди, а знания об уязвимостях пока еще не передаются по наследству. безусловно, благодаря титаническим усилиям комьюнити, когда повсеместно внедряются новые безопасные протоколы и стандарты, какие-то ошибки стало совершить намного сложнее, а то и вовсе невозможно, но выстрелить себе в ногу можно все еще бесконечным количеством способов, некоторые из которых, возможно, никогда не исчезнут. поэтому мы надеемся, что это видео будет полезным для аудитории канала и повысит осведомленность.
P.S. тема довольно большая и все рассказать за раз невозможно. поэтому напомню, что как я и сказал в конце ролика, если у вас есть интересные кейсы иб, то не стесняйтесь их кидать в комменты и возможно мы наберем материала на второе видео.
@@sSpacedOut было бы интересно послушать про уязвимости за которые вк заплатил 30 тысяч долларов 😁 хотя бы одну
@@sSpacedOut Да уж по аватару догадались что это Вы))
Умеют же люди за несколько минут успеть надругаться над Русским и Английским языками. Не первый раз встречаю спикеров со специфическим словарным запасом и опытом работы в VK
файлик, байтик, хэшик - это что за детсад?
я начал волноваться, когда функция rand.Read(salt) "испортила" нашу заготовку для соли
Разве есть sql базы, которые позволяют использовать строки без кавычек? Вот такое же не будет работать: SELECT * FROM XXX WHERE YYY=привет