gin框架出现遍历目录的bug

最新推荐文章于 2023-09-18 17:23:30 发布
最新推荐文章于 2023-09-18 17:23:30 发布
阅读量1.4k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Golang 文章标签: http gin
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cyberspecter/article/details/100661057
这篇博客讲述了在使用Gin框架时遇到的一个在线漏洞,允许通过URL遍历目录。作者通过添加权限控制来解决这个问题,并在后续代码中详细复现了问题,包括尝试使用其他方法以及展示问题代码,指出问题在于路由设置,特别是path参数的处理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

一、 问题描述

在使用 gin 框架的时候,出现了线上漏洞,即可以通过 url 遍历目录。添加了对权限的控制。在后续的项目中,也需要用到 ctx.File(filename string) 函数。开始时想要使用 StripPrefix 但由于其他原因放弃了。

二、代码复现

package main

import (
	"fmt"
	"github.com/gin-gonic/gin"
)

fun main(){
   
   
	router := gin.Default()
	router.
最低0.47元/天 解锁文章

200万优质内容无限畅学
后端面试话术集锦第 十四 篇:go语言面试话术
念兮为美
09-02 1673
go数组切片扩容;new和make的区别;值传递和指针传递的区别;聊聊内存逃逸分析;了解过go的内存管理吗;如何避免内存碎片方面;线程有几种模型?Goroutine的优势、原理你了解过吗、阻塞、哪几种状态;线程和协程内存多少;如果若干个线程发生OOM,会发生什么Goroutine中内存泄漏的发现与排查?项目出现过OOM吗;Go的垃圾回收算法;Go数据竞争怎么解决;Go反射之用字符串函数名调用函数;发用过gin框架吗?参数检验怎么做的;goroutine的锁机制了解过吗?Mutex有哪几种模式、锁底层如何实现
爬虫
weixin_45967126的博客
06-27 2128
目录爬虫爬虫一:自学内容1 爬虫介绍2 requests模块3 代理4 爬视频5 自动登录网站爬虫二:昨日回顾今日内容1 requests+bs4爬汽车之家新闻2 bs4的使用(遍历文档树和查找文档树)3 带你搭一个免费的代理池4 验证码破解5 爬取糗事百科段子,自动通过微信发给女朋友(老板)爬虫三:昨日回顾今日内容1 css选择器和xpath选择器2 selenium的简单使用3 se...
发现了一个关于 gin 1.3.0 框架bug
whyrookie的博客
06-26 576
gin 1.3.0 框架 http 响应数据错乱问题排查 问题概述 客户端同时发起多个http请求,gin接受到请求后,其中一个接口响应内容为空,另外一个接口响应内容包含接口1,接口2的响应内容,导致响应数据错乱(偶现问题) 图1红框标注部分为正常请求响应 图1蓝框标注部分为异常请求响应(可以看到编号2531的响应数据只有一个状态码信息,并没有具体的返回内容) 图2 可以看到编号2533的响应数据包含两组object对象信息,其中第一条object信息应该是2531的响应数据 图1: 图2: 问题分析 因.
Gin-Vue-Admin 跨站点脚本漏洞分析
afeng12345678的博客
08-24 784
Gin-Vue-Admin 跨站点脚本漏洞深入分析。分析文章为本人原创,转载请注明出处。
【Golang】关于gin框架session的一个小坑
suzelong0402的博客
02-21 1406
在用gin写web项目的时候用到了session来鉴权,一开始写的代码如下 在往session中设置了key-value后尝试get了一下看是否设置成功,结果是可以从session中get到,然而在跨路由get的时候却怎么也get不到,查看网页控制台发现在往session中set完kv后正常情况下应该设置一个名为mysession的cookie在浏览器中,但此时却没有向往常一样在response时带上这个cookie,多次尝试后发现是value的类型为time.Time的原因,具体的原因不了解,但将代码改
CVE-2022-47762 Gin-Vue-Admin 路径遍历漏洞分析
afeng12345678的博客
08-24 2288
CVE-2022-47762 Gin-Vue-Admin 路径遍历漏洞深入分析。分析文章为本人原创,转载请注明出处。
gin redis 链接不上_redis未授权访问漏洞复现(包括环境搭建)
weixin_39629631的博客
11-22 298
声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。No.1Redis环境搭建1.工具redis版本:3.2.9链接:ht...
分享一波gin的路由算法
m0_37322399的博客
06-04 540
文章目录gin的路由算法分享gin是什么呢?gin有啥特性呢?gin大致都包含了哪些知识点?路由是什么?gin里面的路由算法是什么?gin的路由算法普通注册路由使用中间件的方式注册路由总结 gin的路由算法分享 gin是什么呢? 我们在github上看看官方简介 Gin is a web framework written in Go (Golang). It features a martini-like API with performance that is up to 40 times faste
深入解析go依赖注入库go.uber.org/fx
白日梦程序员的博客
10-24 7165
后面更新采用肝一篇go官方源码,肝一篇框架源码形式,伤肝->护肝,如果你喜欢就点个赞吧。官方源码比较伤肝(* ̄︶ ̄)。 1依赖注入 初识依赖注入来自开源项目Grafana 的源码,该项目框架采用依赖注入方式对各结构体字段进行赋值。DI 依赖注入包为https://github.com/facebookarchive/inject,后面我会专门介绍这个包依赖注入的原理。不过今天的主角是它:https://github.com/uber-go/fx。 该包统一采用构造函数Newxx()形式进行依赖注
golang fileserver 禁用目录列表_Golang - gin 框架加载多个模板目录
weixin_33515785的博客
01-20 470
简介gin默认是使用text/template,只支持加载一个路径下的模板,而且只取最后的名字,所以有相同文件名字的文件,就有可能加载不到了。gin.LoadHTMLGlob,这个是加载模板目录的,查找模板文件的时候,调用的是filepath.Glob(pattern),patter 设置 "templates/**/*",在Golang之前的版本是可以匹配到目录和文件,但是在现在的稳定版本,跟"...
2021-04-08 gin-template 渲染时数据的遍历索引
qq_41199937的博客
04-08 701
因为部署的原因,使用vue前后端分离的话,在项目部署的过程中需要多一个服务,将服务器看成一个黑盒,不知道哪些端口会被占用,所以服务越少越好,就用到了gin-template的方式,很拉跨,很麻烦,前后端分离拯救了世界!! 关键字:index 执行结果为第一个参数以剩下的参数为索引/键指向的值; 如"index x 1 2 3"返回x[1][2][3]的值;每个被索引的主体必须是数组、切片或者字典。 {{range $j,$k := $v...
Go CGI和FastCGI实现的安全漏洞 | Gopher Daily (2020.09.11) ʕ◔ϖ◔ʔ
TonyBai
09-11 310
每日一谚:Go trusts the programmer to write down what is meant.•Go专栏:《改善Go语言编程质量的50个有效实践》在慕课网上线 - ...
Gin 如何配置web 文件服务,而不能访问文件列表
我从来不认识王先生
12-16 412
Gin如何配置web 文件服务,而不能访问文件列表
gin:获取静态文件的三种方式
简单随风的博客
01-23 6469
package main import ( "github.com/gin-gonic/gin" "net/http" ) func main() { r:=gin.Default() r.Static("/assets", "./assets") r.StaticFS("/static", http.Dir("static")) r.StaticFile("/favicon.ico", "./favicon.ico") r.Run() } 本地启动 访问localhost:8080
Go 代码审计高危漏洞(sqli\cmd\ssrf)
god_Zeo的安全博客
10-30 1654
Go 代码审计高危漏洞 sqli注入 cmd命令执行 ssrf
【Golang那些事】步步为营,如何将GOlang引用库的安全漏洞修干净
最新发布
killer1989的博客
09-18 830
近期,笔者接到一个任务,因为代码安全原因,需要批量升级一系列的Golang第三方组件,这里面包含了直接引用的第三方库和间接引用的第三方库,其中第三方库也包括能够直接升级和不能直接升级两种,这里把相关解决方案沉淀在此,供大家参考。
golangWeb框架---github.com/gin-gonic/gin学习一(路由、多级路由、参数传递几种形式)
热门推荐
全干工程师
09-19 2万+
文章目录Gin介绍安装快速开始路径参数构造参数post传参get+post混合形式构造Map格式 Gin介绍 Gin是一个golang的微框架,封装比较优雅,API友好,源码注释比较明确,已经发布了1.0版本。具有快速灵活,容错方便等特点。其实对于golang而言,web框架的依赖要远比Python,Java之类的要小。自身的net/http足够简单,性能也非常不错。框架更像是一些常用函数或者工具...
Go语言中的Gin框架的初步使用
ZN175623的博客
11-05 1660
2、这时候如果遇到问题资源加载不了,解决方法是使用代理(这块有个 go env 的命令,可以查看当前配置),在cmd中运行。设置后,重新运行 go get -u github.com/gin-gonic/gin 可以很快速的安装。1、框架文档介绍:go get -u github.com/gin-gonic/ginGin RestFul 非常简单。
go github.com/gin-gonic/gin详解
爱死亡机器人
07-16 3317
gin介绍 github.com/gin-gonic/gin是一个轻量级的 WEB 框架,支持 RestFull 风格 API,支持 GET,POST,PUT,PATCH,DELETE,OPTIONS 等 http 方法,支持文件上传,分组路由,Multipart/Urlencoded FORM,以及支持 JsonP,参数处理等等功能,这些都和 WEB 紧密相关,通过提供这些功能,使开发人员更方便...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值