検索

ホームページ  >  記事  >  バックエンド開発  >  golang エラーのエクスポージャー パス

golang エラーのエクスポージャー パス

WBOY
WBOYオリジナル
2023-05-10 09:28:06997ブラウズ

Golang は効率的で簡潔かつ安全なプログラミング言語ですが、エラー処理時にシステム パスが公開されやすいという独自の欠点もあります。この記事では、この問題について説明し、解決策を提供します。

1. 問題の背景

Golang のエラー処理メカニズムは、開発者にとって非常に使いやすいものです。関数内でエラーを返す必要がある場合は、error 型の変数を直接返すことができます。例: 

func Divide(a, b int) (float64, error) {
    if b == 0 {
        return 0, fmt.Errorf("cannot divide by zero")
    }
    return float64(a) / float64(b), nil
}

この関数を使用する場合、エラーが発生したかどうかを判断するには、エラー変数が nil かどうかを判断するだけで済みます。例: 

result, err := Divide(10, 2)
if err != nil {
    fmt.Println(err)
    return
}
fmt.Println(result)

このエラー処理方法は非常に簡潔で効率的で、誰にでも簡単に受け入れられます。しかし、エラースタック情報にはパス情報が含まれているため、プログラムエラーが発生した場合、攻撃者はエラー情報からシステムパスなどの機密情報を取得し、より精密な攻撃を行うことができます。

2. 問題分析

上記の例を見てみましょう. Divide(10, 0) を実行すると、次のようなエラー メッセージが表示されます: 

cannot divide by zero
main.Divide
    /Users/xxx/Documents/go/src/error.go:3
main.main
    /Users/xxx/Documents/go/src/main.go:10
runtime.main
    /usr/local/go/src/runtime/proc.go:204
runtime.goexit
    /usr/local/go/src/runtime/asm_amd64.s:1371

ご覧のとおり、エラー メッセージ、エラー関数が配置されているファイルと行番号だけでなく、エラー関数の特定の実装コードも確認できます。この種の誤った情報の開示は詳細すぎるため、攻撃者の成功確率が大幅に高まります。

3. 解決策

問題が発見されたので、解決策を見つける必要があります。次に考えられる解決策は 2 つあります。

  1. カスタム エラー タイプ

Golang では、エラー タイプをカスタマイズできます。定義は非常に簡単で、エラー インターフェイスの Error() メソッドを実装するだけです。例: 

type MyError struct {
    Reason string
}

func (m MyError) Error() string {
    return m.Reason
}

func Divide(a, b int) (float64, error) {
    if b == 0 {
        return 0, MyError{Reason: "cannot divide by zero"}
    }
    return float64(a) / float64(b), nil
}

このようにして、プログラム エラーが発生した場合、エラー スタック情報にはパスなどの機密情報は含まれず、カスタマイズされたエラー情報のみが含まれるようになります。例: 

cannot divide by zero
  1. サードパーティ ライブラリの使用

カスタム エラー タイプに加えて、既存のサードパーティ ライブラリを使用してこの問題を解決することもできます。一般的に使用されるライブラリには、logrus、zerolog などがあり、エラー情報を暗号化して処理し、システム パスなどの機密情報の漏洩を効果的に防止できます。

logrus を例にとると、logrus を使用してログを記録する場合、パラメータとしてエラー タイプ変数を渡すだけで済みます。例: 

import (
    log "github.com/sirupsen/logrus"
)

func Divide(a, b int) (float64, error) {
    if b == 0 {
        return 0, fmt.Errorf("cannot divide by zero")
    }
    return float64(a) / float64(b), nil
}

func main() {
    result, err := Divide(10, 0)
    if err != nil {
        log.WithError(err).Error("divide error")
        return
    }
    log.Info(result)
}

このようにして、プログラム エラーが発生した場合、エラー情報のみがログに受信され、パスなどの機密情報は公開されません。

4. 概要

この記事では、Golang のエラー処理メカニズムのセキュリティ問題を紹介し、2 つの解決策を提供します。エラーの種類をカスタマイズするのが一般的な解決策であり、サードパーティのライブラリを使用すると、より便利かつ効率的に問題を解決できます。 Golang 開発者は、機密情報がエラー メッセージに漏洩する可能性があるかどうかに注意を払い、対応する予防措置を講じる必要があります。この方法によってのみ、プログラムの安全性と信頼性を高めることができます。

以上がgolang エラーのエクスポージャー パスの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

golang Error 接口 nil
声明:
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
前の記事:Linuxにデプロイされたgolang次の記事:Linuxにデプロイされたgolang

関連記事

続きを見る