Go代码审计学习(一)

最新推荐文章于 2024-11-30 18:30:00 发布
原创 最新推荐文章于 2024-11-30 18:30:00 发布 · 2.2k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#golang #安全

文章目录

网上有关Go的代码审计好少哇,能找到的文章也不多,害,没办法也得学

Vulnerability-goapp

建议用docker启动靶机,靶机漏洞都很简单的,很明显一眼就能找到

完全是为了设计漏洞而设计漏洞,来分析一下

https://github.com/Hardw01f/Vulnerability-goapp

docker-compose up

/assets/

就是一个静态文本目录页面

	http.Handle("/assets/", http.StripPrefix("/assets/", http.FileServer(http.Dir("assets/"))))

请添加图片描述

/ 根目录

func sayYourName(w http.ResponseWriter, r *http.Request) {
   
   
	r.ParseForm()
	fmt.Println(r.Form)
	fmt.Println("path", r.URL.Path)
	fmt.Println("scheme", r.URL.Scheme)
	fmt.Println("r.Form", r.Form)
	fmt.Println("r.Form[name]", r.Form["name"])
	var Name string
	for k, v := range r.Form {
   
   
		fmt.Println("key:", k)
		Name = strings.Join(v, ",")
	}
	fmt.Println(Name)
	fmt.Fprintf(w, Name)
  // 解析表单内容,不做任何处理就直接返回
  // 所以这里就满足反射型xss的条件了
}

请添加图片描述

/login

登录页,就是一些检查,成功就返回 /top

if r.Method == "GET" {
   
   
		if cookie.CheckSessionID(r) {
   
   
			http.Redirect(w, r, "/top", 302)
		} else {
   
   
			t, _ := template
最低0.47元/天 解锁文章
Go代码审计学习(二)
paidx0
12-12 1224
Go代码审计学习(二)
Go代码审计:Gitea远程命令执行漏洞链
01-27
这是本漏洞链的导火索,其出现在GitLFS的处理逻辑中。GitLFS是Git为大文件设置的存储容器,我们可以理解为,他将真正的文件存储在git仓库外,而git仓库中只存储了这个文件的索引(个哈希值)。这样,git objects和.git文件夹下其实是没有这个文件的,这个文件储存在git服务器上。gitea作为个git服务器,也提供了LFS功能。在modules/lfs/server.go文件中,PostHandler是POST请求的处理函数:可见,其中间部分包含
BUUCTF笔记之Basic部分WP
克格莫(有需要的私信)
06-04 5933
1.Linux Labs 这题就是熟悉下ssh了。 登录找到flag.txt: 2.Java Sec Code 这题有点无语,感觉更像是宣传Java Sec Code这个项目。 拿flag:http://057bfb68-fe8f-4ecb-ad38-ad35f029e01b.node3.buuoj.cn/rce/exec?cmd=env 题外话,对于学习java漏洞来说,这个github项目确实是很好的,我们不能仅仅局限于拿flag刷分数,更多的是要深入研究代码背后的思想。 .
GO语言代码审计
墨痕诉清风的博客
07-23 1592
最近直有在学习GO语言,互联网上有许多关于基于GO语言搭建的网站的代码审计文章,但是GO语言本身的语言特性导致的错误或者BUG是最重要的。在这几年GO凭借它的多线程技术优势和垃圾回收机制特性以及多架构进行轻松编译,导致GO语言容错率极高,使其成为了嵌入式领域和物联网IOT设备项目的理想选择,而基于go语言的goroutines的简单性使之成为了GO语言搭建web网站的理想选择了,许多的第三方库也支持goroutines。而且内置的测试框架支持模糊匹配测试了,更是极大方便测试人员。
go代码开发安全指南
HC的博客
07-23 1065
目录 1 通用类 I. 代码实现 1.1 内存管理 1.2 文件操作 1.3 系统接口 1.4 通信安全 1.5 敏感数据保护 1.6 加密解密 1.7 正则表达式 2 后台类 I. 代码实现 1.1 输入校验 1.2 SQL操作 1.3 网络请求 1.4 服务器端渲染 1.5 Web跨域 1.6 响应输出 1.7 会话管理 1.8 访问控制 1.9 并发保护 通用类 1. 代码实现类 1.1 内存管理 1.1.1【必须】切片长度校验 在对slice进行操作...
精选资源
Go语言代码审计:常见漏洞模式识别指南.pdf
05-05
Go 语言以极简设计理念和出色工程性能,成为云原生时代的首选编程语言。从 Docker 到 Kubernetes,全球顶尖科技企业都在采用 Go。点击了解 Go 语言的核心优势、实战窍门和未来走向,开启高效编程的全新体验!
Go代码审计最佳实践面试高频考点100+.pdf
最新发布
05-08
该文档【Go代码审计最佳实践面试高频考点100+】共计 103 页,文档支持目录章节跳转同时还支持阅读器左侧大纲显示和章节快速定位,文档内容完整、条理清晰。文档内所有文字、图表、目录等元素均显示正常,无任何异常...
Go代码审计指南:3天发现潜在安全风险.pdf
05-04
Go 语言以极简设计理念和出色工程性能,成为云原生时代的首选编程语言。从 Docker 到 Kubernetes,全球顶尖科技企业都在采用 Go。点击了解 Go 语言的核心优势、实战窍门和未来走向,开启高效编程的全新体验!
golang 代码安全审计
whatday的专栏
01-16 3529
前言 Go语言主要用作服务器端开发语言,适合于很多程序员起开发大型软件,并且开发周期长,支持云计算的网络服务。Go语言能够让程序员快速开发,并且在软件不断的增长过程中,它能让程序员更容易地进行维护和修改。Go语言是强类型语言,它融合了传统编译型语言的高效性和脚本语言的易用性和富于表达性。 由于Go语言代码审计资料较少,这里就把最近学习的对Vulnerability-goapp项目的审计过程分...
第 43 章 - Go 语言 代码审查
hummhumm的专栏
11-30 2137
代码审查是软件开发过程中的个关键环节,它能够帮助团队在早期发现并修复缺陷,提高代码质量,促进知识分享,并且有助于保持代码风格的致性。通过代码审查,可以减少错误进入生产环境的机会,降低维护成本,同时也能加强团队成员之间的沟通和协作。通过这些示例,我们可以看到如何在Go语言项目中实施有效的代码审查策略,并通过代码审查来提高代码的质量、安全性和性能。当然,我们可以继续深入探讨Go语言中的代码审查,并提供更多的案例和最佳实践。通过这样的代码审查过程,不仅提高了程序的安全性和稳定性,还增强了代码的可维护性。
蓝鸟网站流量统计系统源代码
04-28
BlueBird Website Statistic 2 即蓝鸟网站流量统计软件,是基于 PHP 及 文本方式的应用程序。 本流量统计程序采用文本方式存储数据(对于数据库版本将在以后推出); 运用先进的数据存储结构和程序算法;使用限制日 IP 访问的方式,不仅可 以准确的反映网站访问的真实情况,而且也相对节约了系统资源。 在这个版本中继承了以往版本的优秀之处,修改了全部已知错误。可提供 网站运行期间的年、月、日、24小时及星期流量统计,并可提供历史数据查 询;更增加了浏览者 IP 地址、来访页面、浏览者使用的软件(浏览器和操 作系统)等统计数据。管理员还可以对各种统计资料页面进行锁定,使重要 信息不至于外泄。 本程序为免费程序,仅提供给个人使用,不得用于任何商业用途。用户可 对源代码进行部分的修改、美化,但您不可以从本软件中去掉其版权声明; 并保证为其代码复制版权声明。您有义务向作者提供修改后的代码。在未经 作者本人同意或本站授权,任何人不得擅自将修改后的版本提供下载。 如果在使用中您发现了任何 BUG 或者有好的建议,请尽快反馈给我们。 ================= 安装须知 ================= 将软件解压缩,上传到主页上,默认的数据存储目录是 ./_Data 需要保证该 目录和其下的子目录权限为 777 ;默认的 IP 地址数据库是 ./IP_DATA 。 不建议修改。 配置:在 config.php 中按要求配置即可。默认的帐号 admin 密码为 pass 。 使用:将 stat.php 文件包含在所要统计的网页中。如: include "stat.php"; 对于 JavaScript 的调用还没有时间写。也恨简单,只要在将 stat.php 输出为 JavaScript 格式就行了。 高级:在 main.php 中修改 $StatTypes 参数,设置安全页面。0 表示该页 不可见,只有管理员可见;1 为任何人都可见。如默认的“来访者详 细信息【最近 50 条】”设为 0 你可以看下效果。 ========================= BlueBird 2 最新特色 ========================= A. 重写全部代码,使程序更紧凑,运行效率更高; B. 全新页面操作风格,方便实用; C. 修改了文本数据格式,使得非法用户无法用浏览器直接获取; D. 增加了 1864 条 IP 地址的地理所在地的数据信息,使来访者“无所盾藏”; E. 增加管理员模块,可以控制各种统计数据页面是否公开; F. 采用增量数据存储方式,对于重要统计数据可以进行历史查询; G. 更新操作系统、浏览器的类型判别模块,可识别 90% 以上的主流软件 BlueBird (蓝鸟)网站流量统计 更新历史 History BlueBird (蓝鸟)网站流量统计 常见问题 FAQ BlueBird (蓝鸟)网站流量统计 自述文件 Readme ============= 程序下载 ============= 安装环境: PHP 4.0 操作系统: Windows/Uinx 文件尺寸: 120k 更新时间: 2004.2.20 下载地址:http://xpower.jilinfarm.com/ http://hotage.myrice.com/
Java Web 工程源代码安全审计实战的第 1 部分.pdf
08-16
本文是JavaWeb工程源代码安全审计实战,基于WebGoat工程,讲解四种高危漏洞:文件路径操纵、系统日志欺骗、线程安全和资源未释放问题。
gosec:Golang安全检查器
02-05
gosec-Golang安全检查器 通过扫描Go AST检查源代码是否存在安全问题。 执照 根据Apache许可证2.0版(“许可证”)获得许可。 除非遵守许可,否则您不得使用此文件。 您可以在获得许可的副本。 项目状态 安装 CI安装 # binary will be $(go env GOPATH)/bin/gosec curl -sfL https://raw.githubusercontent.com/securego/gosec/master/install.sh | sh -s -- -b $( go env GOPATH ) /bin vX.Y.Z # or install it
audit:golang安全审核工具
02-20
审计 Golang安全审核工具
代码审计
mirror97black的博客
12-20 617
代码审计
Go代码审计学习笔记
人饭子的博客
10-31 452
Go代码审计 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 环境搭建 推荐 goland 配置远程 debug 调试,参考笔记 goland 远程调试 相关工具 praetorian-inc/gokart - A static analysis tool for securing Go codego install gith...
golang 中使用gorm实现审计字段
lvpeng6的博客
11-12 608
利用gorm的callbacks实现审计字段,如创建、修改订单时自动保存创建人、修改人信息,但又不希望每个结构体中定义SetCreatedBy、SetUpdatedBy方法。
python动态代码审计
一个码农的笔记
08-30 4619
动态代码审计的用处 大型项目代码结构复杂 有些危险的功能隐藏较深(危险的定时计划任务、sqlite数据库任意创建导致任意文件覆盖……) 提高效率,希望通过些黑盒的方法比较快速的找到漏洞。 常见漏洞分类 数据库操作 敏感函数的调用和传参 文件读写操作 网络访问操作 正文目录 数据库general log 日志 hook关键函数 结合au...
Golang代码审计之XSS、SQL注入漏洞审计及修复
weixin_45945976的博客
06-29 1424
这种情况下存在潜在的XSS漏洞,因为攻击者可以在"message"参数中注入恶意的JavaScript代码,导致该代码在用户的浏览器中执行。在上面的示例中,用户输入的username和password直接被拼接到SQL查询语句中,这种情况下容易受到SQL注入攻击。要修复这个问题,我们可以使用Go语言的html/template包中的自动转义功能,确保任何用户输入都被正确地转义。在修复后的代码中,我们使用了参数化查询,使得用户输入的数据以参数的形式传递给查询语句,而不是直接拼接到字符串中。
Go语言代码审计与并发编程高级技巧解析
- 内存泄漏问题:识别和避免内存泄漏是代码审计中的重要内容,学习如何检测和预防Go语言中的内存泄漏问题。 三、并发编程 - Goroutine:Go语言的大特色是轻量级的并发机制,Goroutine的概念和线程的区别是面试中...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

paidx0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值