MysteryMessageBoard源代码main.go如下package mainimport ( "context" "fmt" "log" "net/http" ...
Apache APISIX Dashboard 身份验证绕过漏洞 (CVE-2021-45232)
0x00 漏洞描述Apache APISIX 是一个开源 API 网关,该漏洞的存在是由于 Manager API 中的错误。Manager API 在 gin 框架的基础上引入了 droplet 框...
工具 | pfish
注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。0x00 简介pfish是一款使用gin+gorm+grpc实现的一个无害化钓鱼平...
CVE-2021-45232漏洞分析
简介漏洞描述Apache APISIX是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX Das...
2023 熵密杯
今天和同事组队“金盾检测”一起参加了在河南郑州举办的首届熵密杯线下赛,是之前没有接触过的闯关赛制,有点类似渗透,关卡之间环环相扣,也都和密码学应用紧密相关。不过很遗憾在之前的比赛中对国密的接触并不多,...
Nginx-Ul 任意文件写入漏洞分析与利用思路(CVE-2024-23827)
本文转自先知社区: https://xz.aliyun.com/t/13580?time__1311=mqmxnQiQG%3DDQDtGODlcIo0%3Dii%3DNC3fG7iD&alic...
VNCTF 2023 Web 部分 Writeup
VNCTF 2023 象棋王子右键查看源码得到 flag 电子木鱼main.rs use actix_files::Files; use actix_web::{ error, get, post, ...
2023 熵密杯
(把之前两篇文章合并了一下)8.10号和同事组队“金盾检测”一起参加了在河南郑州举办的首届熵密杯线下赛,是之前没有接触过的闯关赛制,有点类似渗透,关卡之间环环相扣,也都和密码学应用紧密相关。不过很遗憾...
Go语言特性引发的安全问题的思考
近来比赛中越来越多的go题目,所以最近在学习go方面的一些知识点,恰巧看到P神的讲到这个go语言的一些特性,这里简单复现一些并做一些记录。go语言的安全性相较于其他语言来说要安全很多,这对安全人员...
如何获取客户端真实 IP?从 Gin 的一个 "Bug" 说起
1. 背景 请求 IP 作为用户的身份标识属性之一,是一种非常重要的基础数据。在很多场景下,我们会基于客户端请求 IP 去做网络安全攻击防范或访问风险控制。通常我们可以通过 HTTP 协议 Reque...
ChatGPT如何用Go写论坛系统
写一个完整的论坛是一个相当复杂的项目,需要包括用户认证、发表帖子、回复帖子、管理主题、管理用户等功能。在这里,我可以提供一个基本的论坛示例,包括基本的帖子和回复功能,以及简单的用户认证和授权功能。在这...
GO语言安全 — 沙箱逃逸题目分析
01 前言 Sandbox(又叫沙箱、沙盘)即是一个虚拟系统程序,允许你在沙盘环境中运行浏览器或其他程序,因此运行所产生的变化可以随后删除。它创造了一个类似沙盒的独立作业环境,在其...