饼干の博客

昨天在 Github 上找项目审计，找到了一个高星 Go 项目，发现里面使用到了 zip 解压的操作。记得很久之前看过一个文章，如果 zip 的文件名中包含 ../ 可以造成目录穿越。简单试了一下，发现确实存在漏洞，能够在系统任意目录创建任意文件。

程序员开发的过程中，可能会将一些常量写死在程序中，比如说加密算法的私钥。这将导致程序部署后，攻击者可以使用该常量生成密文或对加密数据进行破译。

看了几篇群里大佬发的文章，涨红的脸色渐渐复了原，群友便又问道，“小饼干，你当真看得懂？”小饼干看着问他的聊天气泡，显出不屑置辩的神气。

前几天网上爆出 Apache APISIX Dashboard 存在未授权访问漏洞，我也是在第一时间进行部署复现，但是由于一些原因到现在才写博客。