Golang项目cmall-go代码审计报告<\/h1>

壹项目介绍<\/h2>

1.1 前言<\/h3>

项目地址<\/strong>: cmall-go<\/li>

技术版本<\/strong>:

Gin v1.5.0<\/li>
gorm v1.9.10<\/li> <\/ul> <\/li>
主要技术栈<\/strong>: 使用Golang主流web框架Gin，可通过go.mod文件确认<\/li> <\/ul>
1.2 环境搭建<\/h3>

修改配置文件:<\/p>

将.env.example<\/code>重命名为.env<\/code><\/li>
修改数据库连接信息<\/li> <\/ul> <\/li>
下载依赖:<\/p> go mod tidy <\/span><\/span><\/code><\/pre><\/li> 运行项目:<\/p> go run main.go <\/span><\/span><\/code><\/pre><\/li> <\/ol> 1.3 路由分析<\/h3> 路由入口位于main.go<\/code>中的server.NewRouter()<\/code><\/li> 具体路由定义在router.go<\/code>文件中<\/li> 示例路由: 登录路由: \/api\/v1\/user\/login<\/code><\/li> <\/ul> <\/li> 参数获取方式: 使用c.ShouldBind<\/code>进行参数绑定<\/li> 以用户登录为例，绑定到service.UserLoginService<\/code>结构体<\/li> 登录请求参数示例(JSON格式): { <\/span><\/span> "username"<\/span>: "admin"<\/span>, <\/span><\/span> "password"<\/span>: "123456"<\/span>, <\/span><\/span> "captcha"<\/span>: "captcha_value"<\/span>, <\/span><\/span> "captcha_id"<\/span>: "captcha_id_value"<\/span>, <\/span><\/span> "remember"<\/span>: true<\/span> <\/span><\/span>} <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> <\/ol> 贰代码审计<\/h2> 2.1 用户名枚举漏洞<\/h3> 位置<\/strong>: 登录接口<\/li> 漏洞描述<\/strong>: 查询用户时，如果用户不存在，返回明确的错误信息ERROR_NOT_EXIST_USER<\/code><\/li> 攻击者可通过不同响应判断用户名是否存在<\/li> <\/ul> <\/li> 影响范围<\/strong>: 管理员和普通用户登录处均存在<\/li> <\/ul> 2.2 水平越权修改用户信息<\/h3> 位置<\/strong>: \/api\/v1\/user<\/code>接口组下的UserUpdate<\/code>方法<\/li> 漏洞描述<\/strong>: 通过ID查找用户信息<\/li> 将前端获取的其他信息直接赋值更新<\/li> 无当前用户校验机制<\/li> <\/ul> <\/li> 攻击方式<\/strong>: 登录任意账号后，可修改其他用户信息<\/li> <\/ul> <\/li> <\/ul> 2.3 水平越权添加用户购物车<\/h3> 位置<\/strong>: \/api\/v1\/user<\/code>接口组下的carts<\/code>方法<\/li> 漏洞描述<\/strong>: 仅通过用户ID和产品进行绑定<\/li> 无当前用户验证<\/li> 仅判断用户是否有购物记录<\/li> <\/ul> <\/li> 攻击方式<\/strong>: 登录任意账号后，可为其他用户添加购物车商品<\/li> <\/ul> <\/li> <\/ul> 2.4 水平越权添加其他用户地址<\/h3> 位置<\/strong>: api.CreateAddress<\/code>方法<\/li> 漏洞描述<\/strong>: 直接获取客户端信息创建地址<\/li> 无当前用户鉴权操作<\/li> <\/ul> <\/li> 请求参数<\/strong>: 用户ID<\/li> 名字<\/li> 电话号码<\/li> 地址<\/li> <\/ul> <\/li> 攻击方式<\/strong>: 登录任意账号后，可为其他用户添加收货地址<\/li> <\/ul> <\/li> <\/ul> 叁漏洞复现<\/h2> 3.1 用户名枚举复现<\/h3> 发送登录请求<\/li> 观察不同用户名的响应: 存在用户: 返回密码错误<\/li> 不存在用户: 返回ERROR_NOT_EXIST_USER<\/code><\/li> <\/ul> <\/li> <\/ol> 3.2 水平越权修改用户信息复现<\/h3> 登录普通用户A<\/li> 获取token<\/li> 调用\/api\/v1\/user<\/code>接口<\/li> 设置其他用户ID(如用户ID=2)和信息<\/li> 验证数据库确认修改成功<\/li> <\/ol> 3.3 水平越权添加用户购物车复现<\/h3> 登录用户A<\/li> 调用添加购物车接口<\/li> 设置目标用户B的ID<\/li> 验证用户B的购物车中已添加商品<\/li> <\/ol> 3.4 水平越权添加其他用户地址复现<\/h3> 登录用户A<\/li> 调用添加地址接口<\/li> 设置目标用户B的ID和地址信息<\/li> 验证用户B的地址列表中已添加新地址<\/li> <\/ol> 肆总结与建议<\/h2> 漏洞总结<\/h3> 系统存在多处水平越权漏洞<\/li> 还存在上传漏洞(未复现)和0元购漏洞<\/li> 使用gorm进行数据库查询，SQL注入风险较低<\/li> <\/ol> Golang代码审计建议<\/h3> 组件检查<\/strong>:<\/p> 检查go.mod文件中的依赖组件<\/li> 注意Golang公开组件漏洞较少<\/li> <\/ul> <\/li> 路由分析<\/strong>:<\/p> 重点检查router.go和main.go<\/li> Golang路由通常集中定义，接口显示明了<\/li> <\/ul> <\/li> 常见漏洞类型<\/strong>:<\/p> 逻辑漏洞(越权、权限绕过)<\/li> SQL注入(较少，但仍需注意)<\/li> 文件上传(通常需要配合路径才能RCE)<\/li> 命令执行<\/li> SSTI(服务器端模板注入)<\/li> <\/ul> <\/li> 开源项目查找技巧<\/strong>:<\/p> 使用特定语法在GitHub搜索Golang项目<\/li> <\/ul> <\/li> <\/ol> 修复建议<\/h3> 用户名枚举<\/strong>:<\/p> 统一返回"用户名或密码错误"<\/li> 不暴露用户是否存在信息<\/li> <\/ul> <\/li> 水平越权<\/strong>:<\/p> 添加当前用户校验<\/li> 确保用户只能操作自己的数据<\/li> 使用中间件进行权限验证<\/li> <\/ul> <\/li> 输入验证<\/strong>:<\/p> 对所有用户输入进行严格验证<\/li> 使用白名单机制限制参数范围<\/li> <\/ul> <\/li> 安全设计<\/strong>:<\/p> 实现最小权限原则<\/li> 添加操作日志记录关键操作<\/li> <\/ul> <\/li> <\/ol> 扩展资源<\/h3> 靶场项目: Vulnerabilities_Server<\/li> 其他Golang项目审计案例参考<\/li> <\/ul>

Golang项目cmall-go代码审计报告<\/h1>

壹 项目介绍<\/h2>

贰 代码审计<\/h2>

叁 漏洞复现<\/h2>

肆 总结与建议<\/h2>

扩展资源<\/h3> 靶场项目: Vulnerabilities_Server<\/li> 其他Golang项目审计案例参考<\/li> <\/ul>

壹项目介绍<\/h2>

贰代码审计<\/h2>

叁漏洞复现<\/h2>

肆总结与建议<\/h2>

扩展资源<\/h3>

靶场项目: Vulnerabilities_Server<\/li>
其他Golang项目审计案例参考<\/li> <\/ul>