Go应用程序需要注意的漏洞备忘单

译者：李睿
Go应用程序中需要注意27个漏洞，其中包括任意文件写入、目录遍历、反序列化等。
保护应用程序并不是最简单的事情。而一个应用程序有许多组件：服务器端逻辑、客户端逻辑、数据存储、数据传输、API等等。而为了保护所有这些组件的安全，构建安全的应用程序似乎真的令人生畏。
值得庆幸的是，大多数现实生活中的漏洞都有相同的根源。通过研究这些常见的漏洞类型、发生的原因以及如何发现它，可以学会预防，并保护应用程序。
每种语言、框架或环境的使用都会使应用程序暴露于一组独特的漏洞中。修复应用程序漏洞的第一步是知道需要寻找什么。以下是影响Go应用程序的27个最常见的漏洞，以及如何找到预防的方法。

企业需要致力于保护Go应用程序。以下是需要关注的27个漏洞：

（1）XML外部实体攻击

XML外部实体攻击(XXE)是指攻击者利用XML解析器读取服务器上的任意一些文件。使用XXE，攻击者还可以检索用户信息、配置文件或其他敏感信息，例如AWS凭证。而为了防止XXE攻击，需要明确禁用这些功能。

（2）不安全的反序列化

序列化是将编程语言中的对象（例如Python对象）转换为可以保存到数据库或通过网络传输格式的过程。而反序列化则相反：它是从文件或网络中读取序列化对象并转换回对象的过程。许多编程语言都支持对象的序列化和反序列化，其中包括Java、PHP、Python和Ruby。
不安全的反序列化是一种漏洞，当攻击者可以操纵序列化对象并在程序流程中造成意想不到的后果时，就会出现这种漏洞。不安全的反序列化漏洞通常是非常关键的漏洞：不安全的反序列化漏洞通常会导致身份验证绕过、拒绝服务，甚至是执行任意代码。
为了防止不安全的反序列化，需要首先留意最新的补丁并保持依赖关系。许多不安全的反序列化漏洞是通过依赖项引入的，因此需要确保其第三方代码是安全的。它还有助于避免使用序列化对象，而是使用简单的数据类型，如字符串和数组。