Golang代码审计之跨站请求伪造(CSRF)和路径遍历漏洞审计及修复

最新推荐文章于 2024-05-13 11:36:16 发布
最新推荐文章于 2024-05-13 11:36:16 发布
阅读量778 收藏
点赞数
文章标签: golang csrf 开发语言 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45945976/article/details/131451947
版权

Golang代码审计之跨站请求伪造(CSRF)和路径遍历漏洞审计及修复

跨站请求伪造(CSRF)

问题代码:

package main

import (
	"fmt"
	"net/http"
)

func main() {
	http.HandleFunc("/transfer", func(w http.ResponseWriter, r *http.Request) {
		from := r.FormValue("from")
		to := r.FormValue("to")
		amount := r.FormValue("amount")

		// 执行资金转账操作...
	})

	http.ListenAndServe(":8080", nil)
}

在上面的示例中,我们有一个 /transfer 的接口用于执行资金转账操作。该接口没有做任何身份验证或防范CSRF攻击的措施。这会使得攻击者可以通过构造恶意网页,在用户未经授权的情况下发起资金转账请求。

为了防止CSRF攻击,我们可以使用令牌(Token)来验证请求的来源是否合法。以下是修复后的示例:

package main

import (
	"fmt"
	"net/http"
	"strconv"

	"github.com/gorilla/csrf"
)

func main() {
	csrfMiddleware := csrf.Protect([]byte("secret-key"))

	http.HandleFunc("/transfer", csrfMiddleware(func(w http.ResponseWriter, r *http.Request) {
		from := r.FormValue("from")
		to := r.FormValue("to")
		amount := r.FormValue("amount")

		// 验证CSRF令牌...
		if !csrf.Token(r).Valid() {
			http.Error(w, "Invalid CSRF token", http.StatusBadRequest)
			return
		}

		// 执行资金转账操作...
	}))

	http.ListenAndServe(":8080", nil)
}

在修复后的代码中,我们使用了Gorilla Web Toolkit提供的gorilla/csrf包来保护 /transfer 接口免受CSRF攻击。我们生成一个令牌并将其嵌入到表单中,在处理请求时验证令牌是否有效。

路径遍历漏洞示例

问题代码:

package main

import (
	"fmt"
	"io/ioutil"
	"net/http"
	"os"
	"path/filepath"
)

func main() {
	http.HandleFunc("/download", func(w http.ResponseWriter, r *http.Request) {
		filename := r.FormValue("filename")

		// 构建文件路径...
		filePath := filepath.Join("/path/to/files", filename)

		// 读取文件内容并发送给客户端...
		data, err := ioutil.ReadFile(filePath)
		if err != nil {
			fmt.Println(err)
			http.Error(w, "File not found", http.StatusNotFound)
			return
		}

		w.Write(data)
	})

	http.ListenAndServe(":8080", nil)
}

在上面的示例中,我们有一个 /download 的接口用于下载文件。该接口接受一个 filename 参数,然后在服务器上构造文件路径并返回文件内容。然而,没有进行足够的路径检查,导致攻击者可以通过构造恶意请求来访问系统上的任意文件。

为了修复这个问题,我们需要对用户输入进行严格的验证和过滤,确保只允许访问预期的文件。以下是修复后的示例:

package main

import (
	"fmt"
	"io/ioutil"
	"net/http"
	"os"
	"path/filepath"
)

func main() {
	http.HandleFunc("/download", func(w http.ResponseWriter, r *http.Request) {
		filename := r.FormValue("filename")

		// 验证文件名是否合法...
		if !isValidFilename(filename) {
			http.Error(w, "Invalid filename", http.StatusBadRequest)
			return
		}

		// 构建文件路径...
		filePath := filepath.Join("/path/to/files", filename)

		// 读取文件内容并发送给客户端...
		data, err := ioutil.ReadFile(filePath)
		if err != nil {
			fmt.Println(err)
			http.Error(w, "File not found", http.StatusNotFound)
			return
		}

		w.Write(data)
	})

	http.ListenAndServe(":8080", nil)
}

// 验证文件名是否合法
func isValidFilename(filename string) bool {
	// 做一些验证逻辑,例如检查文件名是否只包含允许的字符、是否具有预期的文件扩展名等
	// 返回 true 或 false,表示文件名是否合法
}

在修复后的代码中,我们添加了一个名为 isValidFilename 的函数来验证文件名是否合法。你可以根据自己的需求实现这个函数,例如检查文件名是否只包含允许的字符,并且具有预期的文件扩展名等。

通过对用户输入进行严格的验证和过滤,我们可以防止路径遍历漏洞,确保只允许访问预期的文件,从而提高应用程序的安全性。

=(^.^)=哈哈哈
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
gorilla / csrf为Go Web应用程序和服务提供请求伪造CSRF)预防中间件:locked:-Golang开发
05-26
gorilla / csrf gorilla / csrf是一个HTTP中间件库,它提供请求伪造CSRF)保护。 它包括:csrf.Protect中间件/处理程序在连接到路由器大猩猩/ csrf的路由上提供CSRF保护。gorilla / csrf是一个HTTP中间件库...
目录遍历漏洞原理、解决方案
qq_37432174的博客
11-22 8809
目录遍历路径遍历)是由于web服务器或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以使web根目录以外的文件),甚至执行系统命令。/之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件。对用户传过来的文件名参数进行统一编码,对包含恶意字符或者空字符的参数进行拒绝。对用户的输入进行验证,特别是路径替代字符如“…尽可能采用白名单的形式,验证所有的输入。
Go语言Gin框架安全加固:全面解析SQL注入、XSS与CSRF的解决方案
热门推荐
qq_35716689的博客
02-04 20万+
在使用 Gin 框架处理前端请求数据时,必须关注安全性问题,以防范常见的攻击。作者: 鼠鼠我捏,要死了捏
静态代码扫描问题修复之--(输入验证 路径遍历java)
最新发布
csdn466412618的博客
05-13 993
优化Java应用安全,防范路径遍历漏洞于输入验证环节,确保代码坚若磐石。本文揭示了因未严格校验用户输入而导致的路径遍历风险,攻击者可能借此突破防线,非法访问或操纵关键文件。通过分析典型问题代码与深入探讨,我们提出了三大修复策略:实施严格的输入验证与过滤、采用安全上下文进行文件操作、以及强化服务器配置。核心修复实例引入了OWASP ESAPI库,展示了如何安全地处理并验证路径,以构建防篡改的安全路径处理机制。立即行动,升级你的应用安全防护,让SEO友好性与用户数据安全并驾齐驱。
CSRF攻击预防的Token生成原理
陈万洲的专栏
12-30 1万+
以往我们讲到CSRF,谈及都是CSRF的攻击原理,这次讲一下预防CSRF,生成Token背后的加密原理和具体实现例示。 1.Token构成。 从需求功能上来讲,为了防止CSRF工具,token需要具有不重复,另外,还含有特定的功能信息,比如过期时间戳。 下面的图描述了一个token的数据构成: Token的数据结构。 ---------------------------
修复路径穿越、任意文件写入漏洞
InterestAndFun的博客
02-23 6828
前段时间随手写的一个文件上传服务,在公司的渗透测试下漏洞百出,其中少不了路径穿越和任意文件写入漏洞。其实这两个漏洞修复并不复杂,只要对入参进行两个条件的校验就可以了。
Go语言实战 - revel框架教程之CSRF请求伪造)保护
weixin_30687811的博客
09-09 125
CSRF是什么?请看这篇博文“浅谈CSRF攻击方式”,说的非常清楚。 现在做网敢不防CSRF的我猜只有两种情况,一是没什么人访问,二是局域网应用。山坡网之前属于第一种情况,哈哈,所以至今没什么问题。但昨天突然发现了有人开始扫url,估计用的是个工具,很整齐的扫了一大片知名框架和数据库管理工具的管理员登陆url。还好我们没有使用其中的任何一个,侥幸没事。但这也给我敲响了警钟,互联网上那是危机重重...
Java代码审计之目录遍历漏洞详解
m0_71745754的博客
01-13 5256
通过用户输入,后端接收到参数直接拼接到指定路径下读取用户的文件名,看似正常,但是用户输入的参数不可控制,黑客将非法的特殊字符作为文件名的一部分,操作到其他路径下,甚至是跳转到服务器敏感目录,读取敏感的配置文件,例如服务器的密码文件,程序数据库,redis等核心配置文件,因此具有一定的风险;
Java路径遍历漏洞修复心得
小猪呀的博客
02-01 1万+
一、路径遍历 路径遍历是指应用程序接收了未经合理校验的用户参数用于进行与文件读取查看相关操作,而该参数包含了特殊的字符(例如“..”和“/”),使用了这类特殊字符可以摆脱受保护的限制,越权访问一些受保护的文件、目录或者覆盖敏感数据。本文以JAVA 语言源代码为例,分析路径遍历缺陷及该缺陷产生的原因及修复方法。 二、缺陷代码 172行因为localFile因为接收参数后未对参数做合理校验,可能会收到../file.text,假定文件路径有效,则可能导致读取了 uploads 父目录下的 file.t
JAVA Web应用常见漏洞修复建议
qq_39560975的博客
07-27 5963
脚本、输入验证、代码注入等常见漏洞解析和修改方案
「Go工具箱」go语言csrf库的使用方式和实现原理
Seekload
11-09 400
❝上帝只垂青主动的人 --- 吴军 《格局》❞大家好,我是渔夫子。本号新推出「Go工具箱」系列,意在给大家分享使用go语言编写的、实用的、好玩的工具。今天给大家推荐的是web应用安全防护方面的一个包:csrf。该包为Go web应用中常见的请求伪造CSRF)攻击提供预防功能。csrf小档案「csrf小档案」star837used by-contributors25作者Gorilla功能...
csrf:gorillacsrf为Go Web应用程序和服务提供请求伪造CSRF)预防中间件:locked:
02-06
这包括: csrf.Protect中间件/处理程序在连接到路由器或子路由器的路由上提供CSRF保护。 一个csrf.Token函数,该函数提供传递到您的响应中的令牌,无论该令牌是HTML表单还是JSON响应正文。 ...和一个csrf....
csrf-tokenservice:无状态CSRF请求伪造)令牌服务
04-28
无状态CSRF请求伪造)令牌服务 :meat_on_bone: 安装 $ composer require schnittstabil/csrf-tokenservice 用法 <?php require __DIR__. '/vendor/autoload.php' ; use Schnittstabil \ Csrf \ Token...
golang中range在slice和map遍历中的注意事项
09-19
今天小编就为大家分享一篇关于golang中range在slice和map遍历中的注意事项,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
golang使用http client发起get和post请求示例
09-17
主要介绍了golang使用http client发起get和post请求示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
登录方式-token登录和csrfToken登录
weixin_30537451的博客
04-09 1214
转载于:https://www.cnblogs.com/zhangbao003/p/8758632.html
golang学习随记
moumumu的博客
08-09 589
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档。
golang gin框架开发api解决域和预检的问题
CQccccqqq的博客
10-13 146
第二个问题:Request header field authorization is not allowed by Access-Control-Allow-Headers in preflight response.第一个问题:Response to preflight request doesn't pass access control check: It does not have HTTP ok status.
golang实现二叉树中遍历的代码
03-24
当然可以,以下是一个简单的二叉树遍历的实现代码: ```go type TreeNode struct { Val int Left *TreeNode Right *TreeNode } func inorderTraversal(root *TreeNode) []int { if root == nil { return []int{} } res := []int{} stack := []*TreeNode{} cur := root for cur != nil || len(stack) > 0 { for cur != nil { stack = append(stack, cur) cur = cur.Left } cur = stack[len(stack)-1] stack = stack[:len(stack)-1] res = append(res, cur.Val) cur = cur.Right } return res } ``` 这是一个中序遍历的实现,其他遍历方式可以类似地实现。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值