teler-waf の紹介: セキュリティに重点を置いた Go フレームワーク用の HTTP ミドルウェア

Go ベースの Web アプリケーションに対する XSS、SQLi、その他の Web 攻撃に対する保護

ある開発者が、Web ベースの攻撃に対抗するように設計された Go アプリケーション用の新しいツールをリリースしました。

開発者でセキュリティ エンジニアの Dwi Siswanto は、1 月 2 日にオープン ソースの teler-waf ソフトウェアを公開しました。24 歳の彼は、このテクノロジは「Go ベースの Web アプリケーションのセキュリティを向上させる」ように設計されていると Twitter で述べました。

GitHub で入手できる teler-waf は、HTTP ミドルウェアとして機能し、侵入検知システム (IDS) 機能を既存のアプリケーションに統合するためのインターフェースを備えています。

Teler-waf のセキュリティ機能には、クロスサイト スクリプティング (XSS) 攻撃や SQL インジェクションなど、一般的な Web ベースの脅威に対する保護が含まれています。

さらに、このツールは、既知の攻撃者やボットネットにリンクされた不正な IP アドレスを検出します。 悪意のある HTTP リファラー、クローラー、およびスクレイパーが、パフォーマンスの問題を引き起こしたり、違法なデータ スクレイピングを実行したりする疑いがあります。 ディレクトリベースのブルートフォース攻撃に関連する場所。

帽子の下

話しかける デイリースイング、teler-waf を独自に開発した Siswanto 氏は、このソフトウェアにはいくつかの利点があると述べています。

たとえば、主要な機能は、既知の脆弱性と攻撃の悪意のあるパターンを追跡する、毎日更新されるデータセットの使用です。 外部リソースには、PHPIDS プロジェクトからの情報、Project Discovery チームからの CVE リスト、Nginx Ultimate Bad Bot Blocker および Crawler Detect からのコレクションが含まれます。

賞品を獲得 読者アンケートに回答して、Burp Suite グッズを獲得するチャンスを手に入れましょう

さらに、teler-waf にはアプリケーション ルーティング機能と統合するための net/http ハンドラが付属しており、Siswanto 氏は次のように述べています。 [is] また、高度な構成が可能なため、特定の Web アプリケーションの特定のニーズに合わせて調整できます。

「クライアントが teler-waf によって保護されたルートにリクエストを送信すると、リクエストは最初に teler IDS に対してチェックされ、既知の悪意のあるパターンが検出されます」と開発者は言います。 「悪意のあるパターンが検出されない場合、リクエストは通過してさらに処理されます。」

表示して伝えます

Siswanto は、リアルタイムの HTTP 侵入検知および脅威警告システムである teler の作成者でもあります。

彼は、Go フレームワークの人気により、teler IDS を過去のプロジェクト、自動 Web サイト スキャン ブロッカー パッケージである AntiScanScanClub に似せるように適合させるよう説得したと語っています。

「私の目標は、検知のためだけでなく、早期予防のためにも Teler IDS 機能を使用することでした」と彼は説明します。 「teler-waf は AntiScanScanClub からの進歩だと言えます。」

現時点では、正式な開発タイムラインはありませんが、将来の貢献者が参加することが期待されており、いくつかのマイルストーンは「まだ決定中」です。

Teler-waf の最初の最新リリースである v0.0.1 は、実験的なものとして分類されています。

シスワントは次のように述べています。 [is] 現在、いくつかの TODO リストがあるため、実験的です。 [have] これは、構成とパフォーマンスの両方に影響を与える可能性のある大きな変更である可能性があります。 近い将来、teler-waf が安定して本番環境で使用できるようになることを願っています。」

Go の人気が高まるにつれて、他の開発者も言語を使用して構築されたアプリケーションを保護するツールをリリースしています。 たとえば、12 月には、Viktor Chuchurski と Alessandro Coto が Safeurl をリリースしました。これは、サーバー側のリクエスト フォージェリ (SSRF) 攻撃を阻止するように設計されたソフトウェアです。

関連している Safeurl HTTP ライブラリは、SSRF 保護を Go アプリケーションにもたらします

Leave a Comment

Your email address will not be published. Required fields are marked *