(把之前两篇文章合并了一下)8.10号和同事组队“金盾检测”一起参加了在河南郑州举办的首届熵密杯线下赛,是之前没有接触过的闯关赛制,有点类似渗透,关卡之间环环相扣,也都和密码学应用紧密相关。不过很遗憾...
Go语言特性引发的安全问题的思考
近来比赛中越来越多的go题目,所以最近在学习go方面的一些知识点,恰巧看到P神的讲到这个go语言的一些特性,这里简单复现一些并做一些记录。go语言的安全性相较于其他语言来说要安全很多,这对安全人员...
如何获取客户端真实 IP?从 Gin 的一个 "Bug" 说起
1. 背景 请求 IP 作为用户的身份标识属性之一,是一种非常重要的基础数据。在很多场景下,我们会基于客户端请求 IP 去做网络安全攻击防范或访问风险控制。通常我们可以通过 HTTP 协议 Reque...
ChatGPT如何用Go写论坛系统
写一个完整的论坛是一个相当复杂的项目,需要包括用户认证、发表帖子、回复帖子、管理主题、管理用户等功能。在这里,我可以提供一个基本的论坛示例,包括基本的帖子和回复功能,以及简单的用户认证和授权功能。在这...
GO语言安全 — 沙箱逃逸题目分析
01 前言 Sandbox(又叫沙箱、沙盘)即是一个虚拟系统程序,允许你在沙盘环境中运行浏览器或其他程序,因此运行所产生的变化可以随后删除。它创造了一个类似沙盒的独立作业环境,在其...
CVE-2021-45232:Apache APISIX Dashboard RCE简析
漏洞概述Apache APISIX 是一个动态、实时、高性能的 API 网关,Apache APISIX Dashboard 使用户可通过前端界面操作 Apache APISIX。在2.10.1之前的...
如何获取客户端真实 IP?从 Gin 的一个 Bug 说起
1. 背景请求 IP 作为用户的身份标识属性之一,是一种非常重要的基础数据。在很多场景下,我们会基于客户端请求 IP 去做网络安全攻击防范或访问风险控制。通常我们可以通过 HTTP 协议 Reques...
GoLang代码审计基础
GoLang代码审计基础Gin框架下载地址:github.com/gin-gonic/ginmysql库下载地址:github.com/go-sql-driver/mysqlGin框架教程地址:htt...
[VNCTF2022]gocalc0复现
本文为看雪论坛优秀文章看雪论坛作者ID:H3h3QAQ这道题当时出了非预期,session两次base64就能getflag,但是这道题本身的考点是Golang SSTI,正好复盘学习一下。&n...
Web框架的请求上下文
文章首发于:火线Zone社区(https://zone.huoxian.cn/)背景最近在研究web框架时,对"请求上下文"这个基础概念有了更多的了解,因此记录一下,包括以下内容:"请求上下文"是什么...
web框架中的请求上下文
背景最近在研究web框架时,对"请求上下文"这个基础概念有了更多的了解,因此记录一下,包括以下内容:"请求上下文"是什么?web框架(flask和gin)实现"请求上下文"的区别?"线程私有数据"是什...
Gin框架的设计模式-控制反转
背景最近的工作内容会涉及到很多项目的"code review",侧重发现"安全漏洞"。阅读代码时有时感觉有点费劲,我想原因一方面是对项目使用的"语言、库、框架"不熟悉,另一方面可能是缺少"设计模式"的...