Go代码审计学习(一)

最新推荐文章于 2024-11-30 18:30:00 发布
原创 最新推荐文章于 2024-11-30 18:30:00 发布 · 2.2k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#golang #安全

文章目录

网上有关Go的代码审计好少哇,能找到的文章也不多,害,没办法也得学

Vulnerability-goapp

建议用docker启动靶机,靶机漏洞都很简单的,很明显一眼就能找到

完全是为了设计漏洞而设计漏洞,来分析一下

https://github.com/Hardw01f/Vulnerability-goapp

docker-compose up

/assets/

就是一个静态文本目录页面

	http.Handle("/assets/", http.StripPrefix("/assets/", http.FileServer(http.Dir("assets/"))))

请添加图片描述

/ 根目录

func sayYourName(w http.ResponseWriter, r *http.Request) {
   
   
	r.ParseForm()
	fmt.Println(r.Form)
	fmt.Println("path", r.URL.Path)
	fmt.Println("scheme", r.URL.Scheme)
	fmt.Println("r.Form", r.Form)
	fmt.Println("r.Form[name]", r.Form["name"])
	var Name string
	for k, v := range r.Form {
   
   
		fmt.Println("key:", k)
		Name = strings.Join(v, ",")
	}
	fmt.Println(Name)
	fmt.Fprintf(w, Name)
  // 解析表单内容,不做任何处理就直接返回
  // 所以这里就满足反射型xss的条件了
}

请添加图片描述

/login

登录页,就是一些检查,成功就返回 /top

if r.Method == "GET" {
   
   
		if cookie.CheckSessionID(r) {
   
   
			http.Redirect(w, r, "/top", 302)
		} else {
   
   
			t, _ := template
最低0.47元/天 解锁文章
Go代码审计学习(二)
paidx0
12-12 1225
Go代码审计学习(二)
Go代码审计:Gitea远程命令执行漏洞链
01-27
这是本漏洞链的导火索,其出现在GitLFS的处理逻辑中。GitLFS是Git为大文件设置的存储容器,我们可以理解为,他将真正的文件存储在git仓库外,而git仓库中只存储了这个文件的索引(个哈希值)。这样,git objects和.git文件夹下其实是没有这个文件的,这个文件储存在git服务器上。gitea作为个git服务器,也提供了LFS功能。在modules/lfs/server.go文件中,PostHandler是POST请求的处理函数:可见,其中间部分包含
BUUCTF笔记之Basic部分WP
克格莫(有需要的私信)
06-04 5942
1.Linux Labs 这题就是熟悉下ssh了。 登录找到flag.txt: 2.Java Sec Code 这题有点无语,感觉更像是宣传Java Sec Code这个项目。 拿flag:http://057bfb68-fe8f-4ecb-ad38-ad35f029e01b.node3.buuoj.cn/rce/exec?cmd=env 题外话,对于学习java漏洞来说,这个github项目确实是很好的,我们不能仅仅局限于拿flag刷分数,更多的是要深入研究代码背后的思想。 .
GO语言代码审计
墨痕诉清风的博客
07-23 1601
最近直有在学习GO语言,互联网上有许多关于基于GO语言搭建的网站的代码审计文章,但是GO语言本身的语言特性导致的错误或者BUG是最重要的。在这几年GO凭借它的多线程技术优势和垃圾回收机制特性以及多架构进行轻松编译,导致GO语言容错率极高,使其成为了嵌入式领域和物联网IOT设备项目的理想选择,而基于go语言的goroutines的简单性使之成为了GO语言搭建web网站的理想选择了,许多的第三方库也支持goroutines。而且内置的测试框架支持模糊匹配测试了,更是极大方便测试人员。
go代码开发安全指南
HC的博客
07-23 1066
目录 1 通用类 I. 代码实现 1.1 内存管理 1.2 文件操作 1.3 系统接口 1.4 通信安全 1.5 敏感数据保护 1.6 加密解密 1.7 正则表达式 2 后台类 I. 代码实现 1.1 输入校验 1.2 SQL操作 1.3 网络请求 1.4 服务器端渲染 1.5 Web跨域 1.6 响应输出 1.7 会话管理 1.8 访问控制 1.9 并发保护 通用类 1. 代码实现类 1.1 内存管理 1.1.1【必须】切片长度校验 在对slice进行操作...
精选资源
Go语言代码审计:常见漏洞模式识别指南.pdf
05-05
Go 语言以极简设计理念和出色工程性能,成为云原生时代的首选编程语言。从 Docker 到 Kubernetes,全球顶尖科技企业都在采用 Go。点击了解 Go 语言的核心优势、实战窍门和未来走向,开启高效编程的全新体验!
Go代码审计最佳实践面试高频考点100+.pdf
最新发布
05-08
该文档【Go代码审计最佳实践面试高频考点100+】共计 103 页,文档支持目录章节跳转同时还支持阅读器左侧大纲显示和章节快速定位,文档内容完整、条理清晰。文档内所有文字、图表、目录等元素均显示正常,无任何异常...
Go代码审计指南:3天发现潜在安全风险.pdf
05-04
Go 语言以极简设计理念和出色工程性能,成为云原生时代的首选编程语言。从 Docker 到 Kubernetes,全球顶尖科技企业都在采用 Go。点击了解 Go 语言的核心优势、实战窍门和未来走向,开启高效编程的全新体验!
golang 代码安全审计
whatday的专栏
01-16 3531
前言 Go语言主要用作服务器端开发语言,适合于很多程序员起开发大型软件,并且开发周期长,支持云计算的网络服务。Go语言能够让程序员快速开发,并且在软件不断的增长过程中,它能让程序员更容易地进行维护和修改。Go语言是强类型语言,它融合了传统编译型语言的高效性和脚本语言的易用性和富于表达性。 由于Go语言代码审计资料较少,这里就把最近学习的对Vulnerability-goapp项目的审计过程分...
第 43 章 - Go 语言 代码审查
hummhumm的专栏
11-30 2140
代码审查是软件开发过程中的个关键环节,它能够帮助团队在早期发现并修复缺陷,提高代码质量,促进知识分享,并且有助于保持代码风格的致性。通过代码审查,可以减少错误进入生产环境的机会,降低维护成本,同时也能加强团队成员之间的沟通和协作。通过这些示例,我们可以看到如何在Go语言项目中实施有效的代码审查策略,并通过代码审查来提高代码的质量、安全性和性能。当然,我们可以继续深入探讨Go语言中的代码审查,并提供更多的案例和最佳实践。通过这样的代码审查过程,不仅提高了程序的安全性和稳定性,还增强了代码的可维护性。
gosec:Golang安全检查器
02-05
gosec-Golang安全检查器 通过扫描Go AST检查源代码是否存在安全问题。 执照 根据Apache许可证2.0版(“许可证”)获得许可。 除非遵守许可,否则您不得使用此文件。 您可以在获得许可的副本。 项目状态 安装 CI安装 # binary will be $(go env GOPATH)/bin/gosec curl -sfL https://raw.githubusercontent.com/securego/gosec/master/install.sh | sh -s -- -b $( go env GOPATH ) /bin vX.Y.Z # or install it
Java Web 工程源代码安全审计实战的第 1 部分.pdf
08-16
本文是JavaWeb工程源代码安全审计实战,基于WebGoat工程,讲解四种高危漏洞:文件路径操纵、系统日志欺骗、线程安全和资源未释放问题。
audit:golang安全审核工具
02-20
审计 Golang安全审核工具
代码审计
mirror97black的博客
12-20 618
代码审计
Go代码审计学习笔记
人饭子的博客
10-31 454
Go代码审计 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 环境搭建 推荐 goland 配置远程 debug 调试,参考笔记 goland 远程调试 相关工具 praetorian-inc/gokart - A static analysis tool for securing Go codego install gith...
golang 中使用gorm实现审计字段
lvpeng6的博客
11-12 613
利用gorm的callbacks实现审计字段,如创建、修改订单时自动保存创建人、修改人信息,但又不希望每个结构体中定义SetCreatedBy、SetUpdatedBy方法。
python动态代码审计
一个码农的笔记
08-30 4620
动态代码审计的用处 大型项目代码结构复杂 有些危险的功能隐藏较深(危险的定时计划任务、sqlite数据库任意创建导致任意文件覆盖……) 提高效率,希望通过些黑盒的方法比较快速的找到漏洞。 常见漏洞分类 数据库操作 敏感函数的调用和传参 文件读写操作 网络访问操作 正文目录 数据库general log 日志 hook关键函数 结合au...
Golang代码审计之XSS、SQL注入漏洞审计及修复
weixin_45945976的博客
06-29 1426
这种情况下存在潜在的XSS漏洞,因为攻击者可以在"message"参数中注入恶意的JavaScript代码,导致该代码在用户的浏览器中执行。在上面的示例中,用户输入的username和password直接被拼接到SQL查询语句中,这种情况下容易受到SQL注入攻击。要修复这个问题,我们可以使用Go语言的html/template包中的自动转义功能,确保任何用户输入都被正确地转义。在修复后的代码中,我们使用了参数化查询,使得用户输入的数据以参数的形式传递给查询语句,而不是直接拼接到字符串中。
Go语言代码审计与并发编程高级技巧解析
- 内存泄漏问题:识别和避免内存泄漏是代码审计中的重要内容,学习如何检测和预防Go语言中的内存泄漏问题。 三、并发编程 - Goroutine:Go语言的大特色是轻量级的并发机制,Goroutine的概念和线程的区别是面试中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

paidx0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值