gin | CN-SEC 中文网

安全开发

漏洞挖掘之从开发者视角解析Gin框架中的逻辑漏洞与越权问题

原文首发在：奇安信攻防社区https://forum.butian.net/share/4164以go的gin后端框架为例子，详细剖析了各种逻辑越权漏洞的成因已经对应防范手段，也为白帽子提供挖掘思路并...

04月09日27 views评论

阅读全文

安全文章

不出网下的XSS回显和apache配置解析的利用

MysteryMessageBoard源代码main.go如下package mainimport ( "context" "fmt" "log" "net/http" ...

02月19日15 views评论

阅读全文

安全漏洞

Apache APISIX Dashboard 身份验证绕过漏洞（CVE-2021-45232）

0x00 漏洞描述Apache APISIX 是一个开源 API 网关，该漏洞的存在是由于 Manager API 中的错误。Manager API 在 gin 框架的基础上引入了 droplet 框...

12月28日16 views评论

阅读全文

安全工具

工具 | pfish

注：仅供安全研究与学习之用，若将工具做其他用途，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律及连带责任。0x00 简介pfish是一款使用gin+gorm+grpc实现的一个无害化钓鱼平...

12月16日19 views评论

阅读全文

安全文章

CVE-2021-45232漏洞分析

简介漏洞描述Apache APISIX是一个动态、实时、高性能的 API 网关，提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX Das...

12月11日22 views评论

阅读全文

安全博客

2023 熵密杯

今天和同事组队“金盾检测”一起参加了在河南郑州举办的首届熵密杯线下赛，是之前没有接触过的闯关赛制，有点类似渗透，关卡之间环环相扣，也都和密码学应用紧密相关。不过很遗憾在之前的比赛中对国密的接触并不多，...

09月28日65 views评论

阅读全文

安全文章

Nginx-Ul 任意文件写入漏洞分析与利用思路(CVE-2024-23827）

本文转自先知社区： https://xz.aliyun.com/t/13580?time__1311=mqmxnQiQG%3DDQDtGODlcIo0%3Dii%3DNC3fG7iD&alic...

02月22日74 views评论

阅读全文

安全博客

VNCTF 2023 Web 部分 Writeup

VNCTF 2023 象棋王子右键查看源码得到 flag 电子木鱼main.rs use actix_files::Files; use actix_web::{ error, get, post, ...

12月15日19 views评论

阅读全文

CTF专场

2023 熵密杯

（把之前两篇文章合并了一下）8.10号和同事组队“金盾检测”一起参加了在河南郑州举办的首届熵密杯线下赛，是之前没有接触过的闯关赛制，有点类似渗透，关卡之间环环相扣，也都和密码学应用紧密相关。不过很遗憾...

09月11日670 views评论

阅读全文

安全开发

Go语言特性引发的安全问题的思考

近来比赛中越来越多的go题目，所以最近在学习go方面的一些知识点，恰巧看到P神的讲到这个go语言的一些特性，这里简单复现一些并做一些记录。‍‍go语言的安全性相较于其他语言来说要安全很多，这对安全人员...

07月04日19 views评论

阅读全文

安全闲碎

如何获取客户端真实 IP？从 Gin 的一个 "Bug" 说起

1. 背景请求 IP 作为用户的身份标识属性之一，是一种非常重要的基础数据。在很多场景下，我们会基于客户端请求 IP 去做网络安全攻击防范或访问风险控制。通常我们可以通过 HTTP 协议 Reque...

05月18日189 views评论

阅读全文

安全开发

ChatGPT如何用Go写论坛系统

写一个完整的论坛是一个相当复杂的项目，需要包括用户认证、发表帖子、回复帖子、管理主题、管理用户等功能。在这里，我可以提供一个基本的论坛示例，包括基本的帖子和回复功能，以及简单的用户认证和授权功能。在这...

02月18日90 views评论

阅读全文

漏洞挖掘之从开发者视角解析Gin框架中的逻辑漏洞与越权问题

不出网下的XSS回显和apache配置解析的利用

Apache APISIX Dashboard 身份验证绕过漏洞（CVE-2021-45232）

工具 | pfish

CVE-2021-45232漏洞分析

2023 熵密杯

Nginx-Ul 任意文件写入漏洞分析与利用思路(CVE-2024-23827）

VNCTF 2023 Web 部分 Writeup

2023 熵密杯

Go语言特性引发的安全问题的思考

如何获取客户端真实 IP？从 Gin 的一个 "Bug" 说起

ChatGPT如何用Go写论坛系统

在线咨询

微信