CodeQL：构建于用户控制源上的Gin / MongoDB API的数据库查询错误

本篇文章给大家分享《CodeQL：构建于用户控制源上的Gin / MongoDB API的数据库查询错误》，覆盖了Golang的常见基础知识，其实一个语言的全部知识点一篇文章是不可能说完的，但希望通过这些问题，让读者对自己的掌握程度有一定的认识(B 数)，从而弥补自己的不足，更好的掌握它。

我有一个简单的 golang gin api，它使用 mongodb 作为后端数据库。我的团队正在使用 github codeql，因此我们希望确保遵循最佳标准。但是，我们的所有查询端点仍然收到此错误：

从用户控制的源构建的数据库查询

这是一个简化的示例端点：

func (l LogHandler) GetLogByFQDN(ctx *gin.Context) {
    // Bind
    var request dtos.GetLogRequest
    if err := ctx.BindJSON(&data); err != nil {
        ctx.AbortWithStatusJSON(http.StatusBadRequest, validator.DecryptErrors(err))
        return
    }

    // Prepare MongoDB query
    col := getCollection("logs")
    filter := bson.M{"config.fqdn": bson.M{"$eq": request.fqdn}}

    // Execute MongoDB query
    var data Log
    err := col.FindOne(context.TODO(), filter).Decode(&data)

    if err != nil {
        ...
    }

    ctx.JSON(
        http.StatusOK,
        data,
    )
}

以下资源建议使用$eq，因此上面的代码已更新，但问题仍然存在。

https://codeql.github.com/codeql-query-help/javascript/js-sql-injection/

我还尝试在绑定后添加自己的卫生功能，这将删除不良字符，例如：

$,{,},,

但是，这也没有解决问题。

我可以忽略这些错误并继续前进，但如果能够为我们的构建管道清除这些错误，那就太好了。

正确答案

您正在使用直接来自用户输入的 request.fqdn 值创建 mongodb 过滤器：

filter := bson.m{"config.fqdn": bson.m{"$eq": request.fqdn}}

如果攻击者控制了 request.fqdn，他们可能能够构造一个值，以意想不到的方式修改您的查询，从而导致潜在的 nosql 注入攻击。

warning from CodeQL 正在尝试提醒您注意此潜在漏洞。

您可以尝试使用 go-playground/validator/v10 等库来验证请求中的 fqdn。如果它不是有效的 fqdn，您需要向用户返回 400 错误。

import (
    "github.com/go-playground/validator/v10"
)

var validate *validator.validate

func init() {
    validate = validator.new()
}

func (l loghandler) getlogbyfqdn(ctx *gin.context) {
    // bind
    var request dtos.getlogrequest
    if err := ctx.bindjson(&data); err != nil {
        ctx.abortwithstatusjson(http.statusbadrequest, validator.decrypterrors(err))
        return
    }

    // validate fqdn first
    err := validate.var(request.fqdn, "fqdn")
    if err != nil {
        ctx.abortwithstatusjson(http.statusbadrequest, "invalid fqdn")
        return
    }

    // then prepare mongodb query
    col := getcollection("logs")
    filter := bson.m{"config.fqdn": bson.m{"$eq": request.fqdn}}

    // execute mongodb query
    var data log
    err := col.findone(context.todo(), filter).decode(&data)

    if err != nil {
        // ...
    }

    ctx.json(
        http.statusok,
        data,
    )
}

确保您的 getlogrequest 结构中有一个 fqdn 标记，如下所示：

type getlogrequest struct {
    fqdn string `validate:"fqdn"`
    // other fields
}

如果错误仍然存​​在，请考虑 codeql 使用静态分析来确定代码中潜在受污染（即用户控制）的数据流。即使您的代码在实践中是安全的，如果 codeql 检测到受污染的数据流进入敏感操作，它仍然可以对其进行标记。

解决此问题的一种方法是将逻辑拆分为单独的函数：

• 用于验证和清理用户输入，以及
• 另一个用于执行 mongodb 查询。

您可以尝试首先将验证和卫生分开：

func validateandsanitizefqdn(fqdn string) (string, error) {
    err := validate.var(fqdn, "fqdn")
    if err != nil {
        return "", err
    }
    
    // potentially, any other sanitization logic here
    sanitizedfqdn := fqdn // in this case, we trust the validation but you can apply more sanitation if needed

    return sanitizedfqdn, nil
}

然后修改您的处理程序以使用 validateandsanitizefqdn() 函数：

func (l LogHandler) GetLogByFQDN(ctx *gin.Context) {
    // Bind
    var request dtos.GetLogRequest
    if err := ctx.BindJSON(&data); err != nil {
        ctx.AbortWithStatusJSON(http.StatusBadRequest, validator.DecryptErrors(err))
        return
    }

    sanitizedFQDN, err := validateAndSanitizeFQDN(request.fqdn)
    if err != nil {
        ctx.AbortWithStatusJSON(http.StatusBadRequest, "Invalid FQDN")
        return
    }

    // Prepare MongoDB query using sanitized FQDN
    col := getCollection("logs")
    filter := bson.M{"config.fqdn": bson.M{"$eq": sanitizedFQDN}}

    // Execute MongoDB query
    var data Log
    err = col.FindOne(context.TODO(), filter).Decode(&data)
    if err != nil {
        // handle error
    }

    ctx.JSON(http.StatusOK, data)
}

通过使这种分离更加清晰，您可以为 codeql 等静态分析工具提供更好的机会来了解用户输入在影响 mongodb 查询之前是否经过验证和清理。

OP Kyle Barnes 添加了 the comments：

以上就是本文的全部内容了，是否有顺利帮助你解决问题？若是能给你带来学习上的帮助，请大家多多支持golang学习网！更多关于Golang的相关知识，也可关注golang学习网公众号。