gin | CN-SEC 中文网

安全工具

重生之网安小FW，手搓交互界面信息收集工具

前言平时买的一年服务器到期了，重新部署信息收集工具嫌麻烦咋整呢？所以我想单独写一份部署简单或者能直接运行的信息收集工具，正好团队师傅给了个golang写的轮子，我就照着轮子造工具就行了工具分子域名扫...

06月26日11 views评论

阅读全文

安全博客

trojan多用户管理部署程序审计学习

最近看到大佬提的issue，正好学习下 https://github.com/Jrohy/trojan 指纹特征 1 2 3 4 /auth/check 路径会返回title值,可以用作指纹特征 {"...

06月20日18 views评论

阅读全文

安全开发

漏洞挖掘之从开发者视角解析Gin框架中的逻辑漏洞与越权问题

原文首发在：奇安信攻防社区https://forum.butian.net/share/4164以go的gin后端框架为例子，详细剖析了各种逻辑越权漏洞的成因已经对应防范手段，也为白帽子提供挖掘思路并...

04月09日32 views评论

阅读全文

安全文章

不出网下的XSS回显和apache配置解析的利用

MysteryMessageBoard源代码main.go如下package mainimport ( "context" "fmt" "log" "net/http" ...

02月19日22 views评论

阅读全文

安全漏洞

Apache APISIX Dashboard 身份验证绕过漏洞（CVE-2021-45232）

0x00 漏洞描述Apache APISIX 是一个开源 API 网关，该漏洞的存在是由于 Manager API 中的错误。Manager API 在 gin 框架的基础上引入了 droplet 框...

12月28日19 views评论

阅读全文

安全工具

工具 | pfish

注：仅供安全研究与学习之用，若将工具做其他用途，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律及连带责任。0x00 简介pfish是一款使用gin+gorm+grpc实现的一个无害化钓鱼平...

12月16日23 views评论

阅读全文

安全文章

CVE-2021-45232漏洞分析

简介漏洞描述Apache APISIX是一个动态、实时、高性能的 API 网关，提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX Das...

12月11日24 views评论

阅读全文

安全博客

2023 熵密杯

今天和同事组队“金盾检测”一起参加了在河南郑州举办的首届熵密杯线下赛，是之前没有接触过的闯关赛制，有点类似渗透，关卡之间环环相扣，也都和密码学应用紧密相关。不过很遗憾在之前的比赛中对国密的接触并不多，...

09月28日71 views评论

阅读全文

安全文章

Nginx-Ul 任意文件写入漏洞分析与利用思路(CVE-2024-23827）

本文转自先知社区： https://xz.aliyun.com/t/13580?time__1311=mqmxnQiQG%3DDQDtGODlcIo0%3Dii%3DNC3fG7iD&alic...

02月22日75 views评论

阅读全文

安全博客

VNCTF 2023 Web 部分 Writeup

VNCTF 2023 象棋王子右键查看源码得到 flag 电子木鱼main.rs use actix_files::Files; use actix_web::{ error, get, post, ...

12月15日20 views评论

阅读全文

CTF专场

2023 熵密杯

（把之前两篇文章合并了一下）8.10号和同事组队“金盾检测”一起参加了在河南郑州举办的首届熵密杯线下赛，是之前没有接触过的闯关赛制，有点类似渗透，关卡之间环环相扣，也都和密码学应用紧密相关。不过很遗憾...

09月11日726 views评论

阅读全文

安全开发

Go语言特性引发的安全问题的思考

近来比赛中越来越多的go题目，所以最近在学习go方面的一些知识点，恰巧看到P神的讲到这个go语言的一些特性，这里简单复现一些并做一些记录。‍‍go语言的安全性相较于其他语言来说要安全很多，这对安全人员...

07月04日21 views评论

阅读全文