Хеширование паролей
Передавать пароли в plaintext формате небезопасно, поэтому их нужно шифровать. По ссылке сниппет с применением техники шифрования. Будем использовать инструмент под названием bcrypt.
https://gowebexamples.com/password-hashing/
#security #hashing
Передавать пароли в plaintext формате небезопасно, поэтому их нужно шифровать. По ссылке сниппет с применением техники шифрования. Будем использовать инструмент под названием bcrypt.
https://gowebexamples.com/password-hashing/
#security #hashing
#appsec #pentest #security
Обзор различных конструкций Go-кода, которые могут привести к уязвимостям.
https://proglib.io/w/07f23a84
Обзор различных конструкций Go-кода, которые могут привести к уязвимостям.
https://proglib.io/w/07f23a84
Elttam
Golang code review notes
elttam is an independent security company providing research-driven security assessment services. We combine pragmatism and deep technical insight to help our customers secure their most important assets.
👍4👎2
#news #security
Исследователи из Oxeye обнаружили новую уязвимость, позволяющую получить несанкционированный доступ к приложениям на Go
Go использует библиотеку
Однако в версии 1.17 точки с запятой рассматриваются как ошибка, и один из методов, отвечающих за получение проанализированной строки запроса, игнорирует возвращаемую ошибку.
Таким образом, в определённых условиях это позволяет обходить проверки, основанные на параметрах HTTP-запроса.
Подробнее
Исследователи из Oxeye обнаружили новую уязвимость, позволяющую получить несанкционированный доступ к приложениям на Go
Go использует библиотеку
net/url для анализа URL-адресов и до версии 1.17 рассматривал точку с запятой в части запроса как допустимый разделитель. Однако в версии 1.17 точки с запятой рассматриваются как ошибка, и один из методов, отвечающих за получение проанализированной строки запроса, игнорирует возвращаемую ошибку.
Таким образом, в определённых условиях это позволяет обходить проверки, основанные на параметрах HTTP-запроса.
Подробнее
about.gitlab.com
The most-comprehensive AI-powered DevSecOps platform
From planning to production, bring teams together in one application. Ship secure code more efficiently to deliver value faster.
👍11
#news
Традиционный выпуск недельных новостей из мира Go-разработки:
— Разбор атаки ParseThru
— GoLand Roadmap 2022.3
— Анонс gitea 1.17
— Релиз yaegi 0.14.1
— Релиз listmonk 2.2
— Релиз progressbar 3.9
— Релиз dig 1.15
— Релиз fiber 2.36
— Релиз muffet 2.6
Традиционный выпуск недельных новостей из мира Go-разработки:
— Разбор атаки ParseThru
— GoLand Roadmap 2022.3
— Анонс gitea 1.17
— Релиз yaegi 0.14.1
— Релиз listmonk 2.2
— Релиз progressbar 3.9
— Релиз dig 1.15
— Релиз fiber 2.36
— Релиз muffet 2.6
Telegram
Библиотека Go разработчика | Golang
#news #security
Исследователи из Oxeye обнаружили новую уязвимость, позволяющую получить несанкционированный доступ к приложениям на Go
Go использует библиотеку net/url для анализа URL-адресов и до версии 1.17 рассматривал точку с запятой в части запроса…
Исследователи из Oxeye обнаружили новую уязвимость, позволяющую получить несанкционированный доступ к приложениям на Go
Go использует библиотеку net/url для анализа URL-адресов и до версии 1.17 рассматривал точку с запятой в части запроса…
👍5🤔2
#pentest #CVE #security #appsec
CVE-2021-38297
Технические детали и эксплуатация уязвимости в связке Go (до 1.16.9 и 1.17.x-1.17.2) + WebAssembly.
Читать
CVE-2021-38297
Технические детали и эксплуатация уязвимости в связке Go (до 1.16.9 и 1.17.x-1.17.2) + WebAssembly.
Читать
JFrog
CVE-2021-38297 - Analysis of a Go Web Assembly vulnerability
CVE-2021-38297 allows attackers to override an entire Wasm module & achieve WebAssembly code execution. Read technical analysis & mitigation from JFrog Security research >
👍6😁1🤯1
Вышла вторая часть в серии статей «Безопасность цепочки поставок» о конкретных методах, с помощью которых Go помогает вам доверять целостности используемых пакетов.
Go имеет встроенную защиту от трех основных способов компрометации пакетов:
✔️Опубликована новая вредоносная версия вашей зависимости
✔️Пакет изъят из экосистемы
✔️Вредоносный файл заменяет текущую версию вашей зависимости
В статье рассмотрены сценарии каждой ситуации и показано, как Go помогает защитить от подобных атак.
#security
Go имеет встроенную защиту от трех основных способов компрометации пакетов:
✔️Опубликована новая вредоносная версия вашей зависимости
✔️Пакет изъят из экосистемы
✔️Вредоносный файл заменяет текущую версию вашей зависимости
В статье рассмотрены сценарии каждой ситуации и показано, как Go помогает защитить от подобных атак.
#security
Telegram
Библиотека Go разработчика | Golang
Безопасность цепочки поставок: серия статей Go-разработчика
Go меняет ландшафт безопасности цепочки поставок, исправляя основу — сам язык. От раннего внедрения OSV до обширной информации о пакетах, курируемой информации об уязвимостях. Одним словом, Go подает…
Go меняет ландшафт безопасности цепочки поставок, исправляя основу — сам язык. От раннего внедрения OSV до обширной информации о пакетах, курируемой информации об уязвимостях. Одним словом, Go подает…
❤10⚡1👍1
Вышла третья часть в серии статей «Безопасность цепочки поставок» о конкретных методах, с помощью которых Go помогает вам доверять целостности используемых пакетов.
Вы узнаете о двух функциях, представляющих особый интерес для безопасности цепочки поставок: расширение Go для Visual Studio Code и встроенное фаззинг-тестирование.
#security
Вы узнаете о двух функциях, представляющих особый интерес для безопасности цепочки поставок: расширение Go для Visual Studio Code и встроенное фаззинг-тестирование.
#security
Telegram
Библиотека Go разработчика | Golang
Безопасность цепочки поставок: серия статей Go-разработчика
Go меняет ландшафт безопасности цепочки поставок, исправляя основу — сам язык. От раннего внедрения OSV до обширной информации о пакетах, курируемой информации об уязвимостях. Одним словом, Go подает…
Go меняет ландшафт безопасности цепочки поставок, исправляя основу — сам язык. От раннего внедрения OSV до обширной информации о пакетах, курируемой информации об уязвимостях. Одним словом, Go подает…
❤7👏2
#tip #go #security
Два способа проверить свой код на наличие уязвимостей
📌Инструмент govulncheck, безусловно, является универсальным для сканирования репозиториев на наличие известных уязвимостей.
🔸Инструмент использует официальную базу данных уязвимостей Go vuln.go.dev, всеобъемлющий источник известных уязвимостей в общедоступных модулях Go.
🔸Govulncheck можно использовать в командной строке или как часть рабочего процесса CI.
📌Еще одним инструментом, заслуживающим внимания, является gosec: Golang Security Checker.
🔸gosec — CLI-инструмент, который может быть интегрирован в пайплайн CI. В дополнение к этому, gosec входит в состав golangci-lint.
🔸По умолчанию он отключен, и вы можете включить либо все проверки на уязвимости, либо только определенные из них. Таким образом, ваш код проверяется на наличие уязвимостей каждый раз, когда ваша IDE запускает линтер.
🔸В отличие от govulncheck, gosec не проверяет наличие известных уязвимостей в общедоступном коде Go. Скорее, он проверяет код на соответствие списку уязвимых шаблонов программирования, включая: жестко закодированные учетные данные, непроверенные ошибки, построение SQL-инструкций с использованием fmt и т.д.
Два способа проверить свой код на наличие уязвимостей
📌Инструмент govulncheck, безусловно, является универсальным для сканирования репозиториев на наличие известных уязвимостей.
🔸Инструмент использует официальную базу данных уязвимостей Go vuln.go.dev, всеобъемлющий источник известных уязвимостей в общедоступных модулях Go.
🔸Govulncheck можно использовать в командной строке или как часть рабочего процесса CI.
📌Еще одним инструментом, заслуживающим внимания, является gosec: Golang Security Checker.
🔸gosec — CLI-инструмент, который может быть интегрирован в пайплайн CI. В дополнение к этому, gosec входит в состав golangci-lint.
🔸По умолчанию он отключен, и вы можете включить либо все проверки на уязвимости, либо только определенные из них. Таким образом, ваш код проверяется на наличие уязвимостей каждый раз, когда ваша IDE запускает линтер.
🔸В отличие от govulncheck, gosec не проверяет наличие известных уязвимостей в общедоступном коде Go. Скорее, он проверяет код на соответствие списку уязвимых шаблонов программирования, включая: жестко закодированные учетные данные, непроверенные ошибки, построение SQL-инструкций с использованием fmt и т.д.
pkg.go.dev
govulncheck command - golang.org/x/vuln/cmd/govulncheck - Go Packages
Govulncheck reports known vulnerabilities that affect Go code.
👍6🔥1