Golang代码审计之XSS、SQL注入漏洞审计及修复

跨站脚本攻击(XSS):

问题代码:

package main

import (
	"fmt"
	"html/template"
	"net/http"
)

func main() {
	http.HandleFunc("/", func(w http.ResponseWriter, r *http.Request) {
		message := r.FormValue("message")
		tmpl := template.Must(template.ParseFiles("index.html"))
		tmpl.Execute(w, message)
	})

	http.ListenAndServe(":8080", nil)
}

在上面的示例中,应用程序接受名为"message"的参数,并将其直接插入到HTML模板中。这种情况下存在潜在的XSS漏洞,因为攻击者可以在"message"参数中注入恶意的JavaScript代码,导致该代码在用户的浏览器中执行。

要修复这个问题,我们可以使用Go语言的html/template包中的自动转义功能,确保任何用户输入都被正确地转义。修改后的代码如下:

package main

import (
	"fmt"
	"html/template"
	"net/http"
)

func main() {
	http.HandleFunc("/", func(w http.ResponseWriter, r *http.Request) {
		message := template.HTMLEscapeString(r.FormValue("message"))
		tmpl := template.Must(template.ParseFiles("index.html"))
		tmpl.Execute(w, message)
	})

	http.ListenAndServe(":8080", nil)
}

在修复后的代码中,我们使用了template.HTMLEscapeString函数对用户输入进行转义,以防止XSS攻击。

SQL注入

问题代码:

package main

import (
	"database/sql"
	"fmt"
	"net/http"
)

func main() {
	http.HandleFunc("/login", func(w http.ResponseWriter, r *http.Request) {
		username := r.FormValue("username")
		password := r.FormValue("password")

		db, err := sql.Open("mysql", "user:password@/database")
		if err != nil {
			fmt.Println(err)
			return
		}

		query := fmt.Sprintf("SELECT * FROM users WHERE username='%s' AND password='%s'", username, password)
		rows, err := db.Query(query)
		if err != nil {
			fmt.Println(err)
			return
		}

		// 处理查询结果...
	})

	http.ListenAndServe(":8080", nil)
}

在上面的示例中,用户输入的username和password直接被拼接到SQL查询语句中,这种情况下容易受到SQL注入攻击。攻击者可以通过在输入字段中注入恶意的SQL代码来绕过身份验证或执行未经授权的操作。

为了修复这个问题,我们应该使用参数化查询或预编译语句来处理用户输入。这样可以确保用户输入不会被解释为SQL代码的一部分。以下是修复后的示例:

package main

import (
	"database/sql"
	"fmt"
	"net/http"
)

func main() {
	http.HandleFunc("/login", func(w http.ResponseWriter, r *http.Request) {
		username := r.FormValue("username")
		password := r.FormValue("password")

		db, err := sql.Open("mysql", "user:password@/database")
		if err != nil {
			fmt.Println(err)
			return
		}

		query := "SELECT * FROM users WHERE username=? AND password=?"
		rows, err := db.Query(query, username, password)
		if err != nil {
			fmt.Println(err)
			return
		}

		// 处理查询结果...
	})

	http.ListenAndServe(":8080", nil)
}

在修复后的代码中,我们使用了参数化查询,使得用户输入的数据以参数的形式传递给查询语句,而不是直接拼接到字符串中。