Golang审计 恶意 zip 文件导致目录穿越文件上传
昨天在 Github 上找项目审计,找到了一个高星 Go 项目,发现里面使用到了 zip 解压的操作。记得很久之前看过一个文章,如果 zip 的文件名中包含 ../
可以造成目录穿越。简单试了一下,发现确实存在漏洞,能够在系统任意目录创建任意文件。
昨天在 Github 上找项目审计,找到了一个高星 Go 项目,发现里面使用到了 zip 解压的操作。记得很久之前看过一个文章,如果 zip 的文件名中包含 ../
可以造成目录穿越。简单试了一下,发现确实存在漏洞,能够在系统任意目录创建任意文件。
程序员开发的过程中,可能会将一些常量写死在程序中,比如说加密算法的私钥。这将导致程序部署后,攻击者可以使用该常量生成密文或对加密数据进行破译。
看了几篇群里大佬发的文章,涨红的脸色渐渐复了原,群友便又问道,“小饼干,你当真看得懂?”小饼干看着问他的聊天气泡,显出不屑置辩的神气。
前几天网上爆出 Apache APISIX Dashboard 存在未授权访问漏洞,我也是在第一时间进行部署复现,但是由于一些原因到现在才写博客。