Forwarded from Gopher Academy
🔵 عنوان مقاله
A Modern Approach to Preventing CSRF/CORF in Go
🟢 خلاصه مقاله:
این مقاله یک رویکرد مدرن برای مقابله با حملات CSRF/CORF در Go معرفی میکند. بهجای تکیه بر tokens، در Go 1.25 یک middleware به نام http.CrossOriginProtection ارائه شده که با استفاده از سیگنالهای امنیتی مرورگر (مانند Fetch Metadata و سیاستهای SameSite) میان درخواستهای امن هممبداء و درخواستهای مشکوک بینمبداء تفکیک ایجاد میکند. این میانافزار بهطور پیشفرض درخواستهای امن را میپذیرد و درخواستهای تغییردهنده حالت از مبداءهای نامطمئن را مسدود میکند، درحالیکه برای مسیرهای ضروری (مثل OAuth callback یا webhook) قابلیت allowlist دارد و با CORS نیز سازگار است. نتیجه، کاهش پیچیدگی پیادهسازی CSRF، تکیه بر قابلیتهای جدید مرورگرها، و استقرار مرحلهای (از حالت گزارش تا اعمال) است؛ ضمن اینکه جایگزین احراز هویت و کنترل دسترسی نیست، بلکه مکمل آنهاست.
#Go #CSRF #WebSecurity #FetchMetadata #SameSite #Middleware #GoLang #Security
🟣لینک مقاله:
https://golangweekly.com/link/175634/web
➖➖➖➖➖➖➖➖
👑 @gopher_academy
A Modern Approach to Preventing CSRF/CORF in Go
🟢 خلاصه مقاله:
این مقاله یک رویکرد مدرن برای مقابله با حملات CSRF/CORF در Go معرفی میکند. بهجای تکیه بر tokens، در Go 1.25 یک middleware به نام http.CrossOriginProtection ارائه شده که با استفاده از سیگنالهای امنیتی مرورگر (مانند Fetch Metadata و سیاستهای SameSite) میان درخواستهای امن هممبداء و درخواستهای مشکوک بینمبداء تفکیک ایجاد میکند. این میانافزار بهطور پیشفرض درخواستهای امن را میپذیرد و درخواستهای تغییردهنده حالت از مبداءهای نامطمئن را مسدود میکند، درحالیکه برای مسیرهای ضروری (مثل OAuth callback یا webhook) قابلیت allowlist دارد و با CORS نیز سازگار است. نتیجه، کاهش پیچیدگی پیادهسازی CSRF، تکیه بر قابلیتهای جدید مرورگرها، و استقرار مرحلهای (از حالت گزارش تا اعمال) است؛ ضمن اینکه جایگزین احراز هویت و کنترل دسترسی نیست، بلکه مکمل آنهاست.
#Go #CSRF #WebSecurity #FetchMetadata #SameSite #Middleware #GoLang #Security
🟣لینک مقاله:
https://golangweekly.com/link/175634/web
➖➖➖➖➖➖➖➖
👑 @gopher_academy
www.alexedwards.net
A modern approach to preventing CSRF in Go - Alex Edwards
Forwarded from Gopher Academy
🔵 عنوان مقاله
list of the top ten web application security threats in 2025.
🟢 خلاصه مقاله:
امنیت وب در ۲۰۲۵ با ترکیبی از تهدیدهای قدیمی و سطح حملههای جدید تعریف میشود: شکست در کنترل دسترسی، تزریق در SQL/NoSQL/GraphQL، ضعفهای احراز هویت و نشستها، SSRF و پیکربندیهای نادرست همچنان پرتکرارند، در حالی که حملات زنجیرهتأمین (بستههای مخرب، Dependency Confusion، نفوذ به CI/CD) و سوءاستفادههای خودکار و مبتنی بر AI رو به افزایشاند. در معماریهای API-first و میکروسرویس، خطاهایی مثل Broken Object-Level Authorization، Mass Assignment، و Shadow APIها ریسک را بالا میبرند و در فضای ابری، SSRF میتواند به افشای گذرواژههای ابری و تصاحب حساب منجر شود. برای تیمهای Go، هرچند زبان از کلاس بزرگی از باگهای حافظهای جلوگیری میکند، اما خطاهای منطقی، شرایط مسابقه و تنظیمات ناایمن باقی میمانند؛ بنابراین استفاده از احراز هویت قوی (مثل WebAuthn و توکنهای کوتاهعمر)، اصل حداقل دسترسی، چرخش اسرار، تست و اسکن مداوم (fuzzing در Go 1.18+، linters، govulncheck)، مدیریت امن وابستگیها و SBOM، و سختسازی CI/CD با امضا و سیاستگذاری پیشنهاد میشود. این فهرست از سوی Golang Weekly بهعنوان یک چکلیست عملی برای اولویتبندی دفاعها و گفتوگو درباره ریسک در تیمهای توسعه معرفی شده است.
#WebSecurity #AppSec #Golang #APIsecurity #SupplyChainSecurity #DevSecOps #SSRF #OWASP
🟣لینک مقاله:
https://golangweekly.com/link/176898/web
➖➖➖➖➖➖➖➖
👑 @gopher_academy
list of the top ten web application security threats in 2025.
🟢 خلاصه مقاله:
امنیت وب در ۲۰۲۵ با ترکیبی از تهدیدهای قدیمی و سطح حملههای جدید تعریف میشود: شکست در کنترل دسترسی، تزریق در SQL/NoSQL/GraphQL، ضعفهای احراز هویت و نشستها، SSRF و پیکربندیهای نادرست همچنان پرتکرارند، در حالی که حملات زنجیرهتأمین (بستههای مخرب، Dependency Confusion، نفوذ به CI/CD) و سوءاستفادههای خودکار و مبتنی بر AI رو به افزایشاند. در معماریهای API-first و میکروسرویس، خطاهایی مثل Broken Object-Level Authorization، Mass Assignment، و Shadow APIها ریسک را بالا میبرند و در فضای ابری، SSRF میتواند به افشای گذرواژههای ابری و تصاحب حساب منجر شود. برای تیمهای Go، هرچند زبان از کلاس بزرگی از باگهای حافظهای جلوگیری میکند، اما خطاهای منطقی، شرایط مسابقه و تنظیمات ناایمن باقی میمانند؛ بنابراین استفاده از احراز هویت قوی (مثل WebAuthn و توکنهای کوتاهعمر)، اصل حداقل دسترسی، چرخش اسرار، تست و اسکن مداوم (fuzzing در Go 1.18+، linters، govulncheck)، مدیریت امن وابستگیها و SBOM، و سختسازی CI/CD با امضا و سیاستگذاری پیشنهاد میشود. این فهرست از سوی Golang Weekly بهعنوان یک چکلیست عملی برای اولویتبندی دفاعها و گفتوگو درباره ریسک در تیمهای توسعه معرفی شده است.
#WebSecurity #AppSec #Golang #APIsecurity #SupplyChainSecurity #DevSecOps #SSRF #OWASP
🟣لینک مقاله:
https://golangweekly.com/link/176898/web
➖➖➖➖➖➖➖➖
👑 @gopher_academy