gin - 第 2 | CN-SEC 中文网

CTF专场

GO语言安全 — 沙箱逃逸题目分析

01 前言 Sandbox(又叫沙箱、沙盘)即是一个虚拟系统程序，允许你在沙盘环境中运行浏览器或其他程序，因此运行所产生的变化可以随后删除。它创造了一个类似沙盒的独立作业环境，在其...

02月16日293 views评论

阅读全文

安全文章

CVE-2021-45232：Apache APISIX Dashboard RCE简析

漏洞概述Apache APISIX 是一个动态、实时、高性能的 API 网关，Apache APISIX Dashboard 使用户可通过前端界面操作 Apache APISIX。在2.10.1之前的...

11月11日137 views评论

阅读全文

安全文章

如何获取客户端真实 IP？从 Gin 的一个 Bug 说起

1. 背景请求 IP 作为用户的身份标识属性之一，是一种非常重要的基础数据。在很多场景下，我们会基于客户端请求 IP 去做网络安全攻击防范或访问风险控制。通常我们可以通过 HTTP 协议 Reques...

10月02日379 views评论

阅读全文

代码审计

GoLang代码审计基础

GoLang代码审计基础Gin框架下载地址：github.com/gin-gonic/ginmysql库下载地址：github.com/go-sql-driver/mysqlGin框架教程地址：htt...

06月02日413 views评论

阅读全文

CTF专场

[VNCTF2022]gocalc0复现

本文为看雪论坛优秀‍‍‍文章看雪论坛作者ID：H3h3QAQ这道题当时出了非预期，session两次base64就能getflag，但是这道题本身的考点是Golang SSTI，正好复盘学习一下。&n...

05月07日110 views评论

阅读全文

安全闲碎

Web框架的请求上下文

文章首发于：火线Zone社区（https://zone.huoxian.cn/）背景最近在研究web框架时，对"请求上下文"这个基础概念有了更多的了解，因此记录一下，包括以下内容："请求上下文"是什么...

04月22日21 views评论

阅读全文

web框架中的请求上下文

背景最近在研究web框架时，对"请求上下文"这个基础概念有了更多的了解，因此记录一下，包括以下内容："请求上下文"是什么？web框架(flask和gin)实现"请求上下文"的区别？"线程私有数据"是什...

04月10日安全闲碎28 views评论

阅读全文

安全开发

Gin框架的设计模式-控制反转

背景最近的工作内容会涉及到很多项目的"code review"，侧重发现"安全漏洞"。阅读代码时有时感觉有点费劲，我想原因一方面是对项目使用的"语言、库、框架"不熟悉，另一方面可能是缺少"设计模式"的...

03月17日94 views评论

阅读全文

安全漏洞

CVE-2021-45232分析(APISIX网关未授权访问)

文章首发于：火线Zone社区（https://zone.huoxian.cn/）背景apisix网关之前出过一个dashboard api未授权访问漏洞 [1]：因为访问下面两个接口不需要身...

03月08日147 views评论

阅读全文

SecIN安全技术社区

HFish初版审计学习

在之前学习golang的靶场之后，下来开始尝试一些真实环境的代码审计工作，于是我找到了HFsih并下载了最初的版本。到这里可能有师傅问了：为什么不直接梭哈最新版本？当然是因为最初版本比较简单并且适合...

03月25日175 views已关闭评论

阅读全文

GO语言安全 — 沙箱逃逸题目分析

CVE-2021-45232：Apache APISIX Dashboard RCE简析

如何获取客户端真实 IP？从 Gin 的一个 Bug 说起

GoLang代码审计基础

[VNCTF2022]gocalc0复现

CVE-2021-45232分析(APISIX网关未授权访问)

HFish初版审计学习

在线咨询

微信