2024，2024年最新2024金九银十Golang大厂面试题来袭

2401_84239901

已于 2024-04-13 03:23:17 修改

阅读量499

点赞数 20

分类专栏：程序员文章标签： golang 开发语言后端

于 2024-04-13 03:23:15 首次发布

本文链接：https://blog.csdn.net/2401_84239901/article/details/137701620

版权

程序员专栏收录该内容

17 篇文章 0 订阅

订阅专栏

Goby预置了最具攻击效果的漏洞引擎，覆盖Weblogic，Tomcat等最严重漏洞。每天从互联网（如CVE）会产生大量的漏洞信息，我们筛选了会被用于真实攻击的漏洞进行每日更新。Goby也提供了可以自定义的漏洞检查框架，发动了互联网的大量安全从业者贡献POC，保证持续的应急响应能力。同时，我们认为基于实际效果的检查会比基于版本的比对方式更有价值。

获取方式，可查看文末⬇⬇⬇

文章目录

- Nacos 身份认证绕过漏洞

泛微-协同办公OA browser.jsp 文件 keyword 参数 SQL注入漏洞
Atlassian Jira 缺陷跟踪管理系统 snjFooterNavigationConfig 文件 fileName 参数任意文件读取漏洞（CVE-2023-26256）、Atlassian Jira 缺陷跟踪管理系统 snjCustomDesignConfig 文件 fileName 参数任意文件读取漏洞（CVE-2023-26255）
Fortinet FortiNAC keyUpload.jsp 任意文件上传漏洞（CVE-2022-39952）
天融信 Topsec ACM 系统 download.php 任意文件下载
QNAP NAS网络储存设备video.php文件的filename参数任意文件读取
深信服应用交付管理系统 login 文件 clsMode 参数命令执行漏洞
QNAP-NAS authLogin.cgi 文件 app_token 参数代码执行漏洞（CVE-2022-27596）
Nostromo 路径穿越漏洞（CVE-2022-48253）
Ruckus Wireless Admin 命令执行漏洞（CVE-2023-25717）
Aspera Faspex relay_package 远程代码执行漏洞（CVE-2022-47986）
SolarView Compact 存在任意命令执行漏洞（CVE-2023-23333）
Smartbi 未授权访问及 JDBC 任意代码执行漏洞
yunucms 城市分站管理系统 request_uri 参数代码执行漏洞
WordPress BackupBuddy 插件 local-download 参数任意文件读取漏洞（CVE-2022-31474）
TurboMail 邮件系统 viewfile 文件读取漏洞
Apache Guacamole tokens 接口默认密码漏洞
Liferay Portal 7.2.1 版本 invoke 文件远程代码执行漏洞（CVE-2020-7961）
SugarCRM index.php 任意文件上传漏洞（CVE-2023-22952）
Oracle E-Business Suite BneViewerXMLService 任意文件上传漏洞 (CVE-2022-21587)
WordPress 插件WP Live Chat Support path文件包含漏洞

Nacos 身份认证绕过漏洞

English name: Nacos Authentication Bypass Vulnerability

漏洞描述： Nacos是一个构建云原生应用的服务管理平台。开源服务管理平台Nacos在版本0.1.0到2.20中存在高危身份认证绕过漏洞，攻击者可绕过关键身份认证并进入后台，导致系统被控制等后果。

影响范围： 开源服务管理平台Nacos在版本0.1.0到2.20中存在高危身份认证绕过漏洞，攻击者可绕过关键身份认证并进入后台，导致系统被控制等后果。

在这里插入图片描述

泛微-协同办公OA browser.jsp 文件 keyword 参数 SQL注入漏洞

English name：Weaver e-cology OA browser.jsp keyword SQL Injection Vulnerability

漏洞描述： Weaver e-cology OA，也称为Ubiq Collaborative办公系统，是一个基于简单、应用和效率原则构建的高品质办公系统。该软件具有20多个功能模块，包括流程、门户、知识、人员和通信，并采用智能语音交互式办公模式，完美地适应了企业的实际需求，并为企业开拓了整个数字化管理领域。browser.jsp文件存在SQL注入漏洞，攻击者可以通过该漏洞获取敏感数据库信息。

影响范围： 除了使用SQL注入漏洞获取数据库中的信息（例如，管理员的后端密码、站点用户的个人信息），攻击者在高权限的情况下还可以向服务器写入特洛伊木马，进一步获取服务器系统权限。

Atlassian Jira 缺陷跟踪管理系统 snjFooterNavigationConfig 文件 fileName 参数任意文件读取漏洞（CVE-2023-26256）、Atlassian Jira 缺陷跟踪管理系统 snjCustomDesignConfig 文件 fileName 参数任意文件读取漏洞（CVE-2023-26255）

English name: Atlassian Jira snjFooterNavigationConfig fileName Arbitrary File Read Vulnerability (CVE-2023-26256)、Atlassian Jira snjCustomDesignConfig fileName Arbitrary File Read Vulnerability (CVE-2023-26255)

漏洞描述： Atlassian Jira是澳大利亚Atlassian公司的一套缺陷跟踪管理系统。该系统主要用于跟踪和管理工作中的各种问题和缺陷。

Jira插件STAGIL Navigation 2.0.52之前存在安全漏洞。该漏洞源于路径遍历漏洞，攻击者可以遍历并读取文件系统。

影响范围： Jira插件STAGIL Navigation 2.0.52之前存在安全漏洞。该漏洞源于路径遍历漏洞，攻击者可以遍历并读取文件系统。

Fortinet FortiNAC keyUpload.jsp 任意文件上传漏洞（CVE-2022-39952）

English name：Fortinet FortiNAC keyUpload.jsp Arbitrary File Upload Vulnerability (CVE-2022-39952)

漏洞描述： Fortinet FortiNAC是一款来自Fortinet的零信任访问解决方案。Fortinet FortiNAC存在安全漏洞。攻击者可以通过keyUpload.jsp上传恶意压缩的木马文件以获取服务器权限。

影响范围： Fortinet FortiNAC存在安全漏洞。攻击者可以通过keyUpload.jsp上传恶意压缩的木马文件以获取服务器权限。

在这里插入图片描述

天融信 Topsec ACM 系统 download.php 任意文件下载

English name：Topsec ACM download.php Any file download

漏洞描述： 天融信 Topsec ACM 是天融信公司多年安全产品研发经验的产物，是针对各行各业网络行为管理、内容审计的专业产品。该系统不仅具备防止非法信息传播、敏感信息泄漏、实时监控、日志追踪、网络资源管理等功能，还拥有强大的用户管理、报表统计和分析功能。TopSec ACM 的 download.php 文件存在任意文件下载漏洞，攻击者可以利用此漏洞读取系统中的任意文件。

影响范围： 天融信 Topsec ACM 的 download.php 文件存在任意文件下载漏洞，攻击者可以利用此漏洞读取系统中的任意文件。

QNAP NAS网络储存设备video.php文件的filename参数任意文件读取

English name: QNAP Photo Station the filename parameter of the video.php file is read arbitrarily vulnerability

漏洞描述： QNAP NAS是QNAP Systems提供的一套网络存储设备。对于家庭、SOHO和中小企业用户，QNAP Systems的Photo Station是一款照片管理和查看应用程序，可以将分散在多个终端设备上的照片集中管理、编辑和共享，并存在Photo Station和CGI模块的漏洞。

影响范围： QNAP NAS是QNAP Systems提供的一套网络存储设备。QNAP NAS的/video/p/api/video.php文件的filename参数存在任意文件读取漏洞，这是由于可控的exportFile()参数导致的，即使没有授权，通过构造特定的参数可以绕过身份验证，导致任意文件读取漏洞，这可能会允许攻击者查看敏感信息并获取更高的特权访问。

深信服应用交付管理系统 login 文件 clsMode 参数命令执行漏洞

English name: SangFor AD login clsMode command execution vulnerability

漏洞描述： 深信服应用交付管理系统为用户提供了包括多数据中心负载均衡、多链路负载均衡、服务器负载均衡等全面解决方案。不仅实现了对每个数据中心、链路和服务器状态的实时监控，还根据预设规则将用户的访问请求分配到相应的数据中心、链路和服务器，实现了数据流的合理分布，充分利用了所有的数据中心、链路和服务器。版本7.0.8-7.0.8r5的登录界面存在命令执行漏洞。攻击者通过命令拼接获取服务器权限。

影响范围： 攻击者可以利用此漏洞在服务器端任意执行代码、写入后门、获取服务器权限，然后控制整个Web服务器。

QNAP-NAS authLogin.cgi 文件 app_token 参数代码执行漏洞（CVE-2022-27596）

English name: QNAP-NAS authLogin.cgi app_token RCE Vulnerability (CVE-2022-27596)

漏洞描述： QNAP Systems QTS是中国QNAP Systems用于入门级到中级QNAP NAS的操作系统。QNAP Systems QTS存在安全漏洞。该漏洞源于运行QuTS hero和QTS的设备允许远程攻击者将恶意代码注入app_token参数字段以获取服务器权限。

影响范围： QNAP Systems QTS存在安全漏洞。该漏洞源于运行QuTS hero和QTS的设备允许远程攻击者将恶意代码注入app_token参数字段以获取服务器权限。

Nostromo 路径穿越漏洞（CVE-2022-48253）

English name: Nostromo path traversal vulnerability（CVE-2022-48253）

漏洞描述： Nostromo（又名nhttpd）是一个简单快速的开源Web服务器。Nostromo 2.1版本存在路径穿越漏洞，攻击者可以在使用homedirs选项时进行任意文件读取，并在具有权限时在远程服务器上执行任意命令。

影响范围： Nostromo 2.1版本存在路径穿越漏洞，攻击者可以在使用homedirs选项时进行任意文件读取，并在具有权限时在远程服务器上执行任意命令。

Ruckus Wireless Admin 命令执行漏洞（CVE-2023-25717）

English name: Ruckus Wireless Admin Command Execution Vulnerability (CVE-2023-25717)

漏洞描述 ：Ruckus Wireless Admin是ruckuswireless的多个路由器和硬件设备的后台管理系统。Ruckus Wireless Admin版本10.4及更早版本存在命令执行漏洞。

影响范围 ：攻击者可以利用此漏洞在服务器端任意执行代码、写入后门、获取服务器权限，然后控制整个Web服务器。

Aspera Faspex relay_package 远程代码执行漏洞（CVE-2022-47986）

English name: Aspera Faspex relay_package RCE Vulnerability(CVE-2022-47986)

漏洞描述 ：Aspera Faspex是由美国IBM公司基于IBM FASP协议构建的一组快速文件传输和流媒体解决方案。Aspera Faspex中存在一个安全漏洞。该漏洞源于/package_relay/relay_package路径中缺乏安全检查。攻击者可以利用此漏洞执行任意代码以获取服务器权限。

影响范围 ：Aspera Faspex中存在一个安全漏洞。该漏洞源于/package_relay/relay_package路径中缺乏安全检查。攻击者可以利用此漏洞执行任意代码以获取服务器权限。