文章目录
-
- 背景介绍
- 问题分析
- 解决方案
-
- 1.起一个新的http server,不使用默认对象
- 2.修改http默认对象
- 3.既然源码这么坑,把源码捞出来改成自己想要的。
背景介绍
最近项目在线上被检测出有pprof有漏洞,原因是产品对外暴露的端口,可以通过http://ip:prot/debug/pprof/profile,获取到代码的堆栈信息,视为不安全的。
问题分析
之所以pprof信息不安全,这要从go的net/http/pprof包的设计来讲。
pprof作为一个非常方便的性能检测工具,基本go服务都会默认开启它,
而pprof在使用方面也是非常简单的,只需要包含net/http/pprof,并且开启一个http监听
go func() {
log.Println(http.ListenAndServe("localhost:6060", nil))
}()
即可帮你打包注册pprof的url
但是漏洞也就出在这个简单易用上,
由于net/http/pprof包中直接在init函数中帮你注册了pprof的这些资源url。导致,只要你包含了这个包,这些url就会被自动被注册。且url不可变,也就导致只要你包含了net/http/pprof,又用http.ListenAndServe起了httpserver,就会导致pprof堆栈被信息的泄露。
