Go应用程序需要注意的漏洞备忘单(6)

减轻这种风险的最佳方法是不根据任何用户输入创建文件名，包括会话信息、HTTP输入或用户控制的任何内容。应该控制每个创建的文件的文件名、路径和扩展名。例如，在用户每次需要生成唯一文件时生成一个随机的字母数字文件名，还可以在创建文件之前去除用户输入的特殊字符。

（20）拒绝服务攻击

拒绝服务攻击或DoS攻击会破坏目标机器，使合法用户无法访问其服务。攻击者可以通过耗尽所有服务器资源、崩溃进程或一次发出过多耗时的HTTP请求来发起DoS攻击。
拒绝服务攻击很难防御。但是有一些方法可以通过让攻击者尽可能地困难来最小化风险。例如，可以部署提供DoS保护的防火墙，并通过设置文件大小限制和禁止某些文件类型来防止基于逻辑的DoS攻击。

（21）加密漏洞

加密问题可能是应用程序中可能发生的最严重的漏洞之一。加密漏洞是指未正确实施加密和散列。这可能导致广泛的数据泄漏和通过会话欺骗绕过身份验证。
开发人员在网站上实施加密时常犯的一些错误是：
使用弱算法。
使用错误的算法达到目的。
创建自定义算法。
生成弱随机数。
将编码误认为加密。

（22）不安全的TLS配置和不正确的证书验证

除了正确加密数据存储中的信息之外，用户还需要确保正在与受信任的机器进行通信，而不是与恶意的第三方进行通信。TLS使用数字证书作为其公钥加密的基础，需要在与第三方建立连接之前验证这些证书。用户应该验证其尝试连接的服务器是否具有由受信任的证书颁发机构(CA)颁发的证书，并且证书链中的任何证书都没有过期。

（23）批量分配

“批量赋值”是指一次为多个变量或对象属性赋值的做法。当应用程序自动将用户输入分配给多个程序变量或对象时，就会出现批量分配漏洞。这是许多旨在简化应用程序开发的应用程序框架中的一个功能。
但是，这一功能有时允许攻击者随意覆盖、修改或创建新的程序变量或对象属性。这可能导致身份验证绕过和对程序逻辑的操纵。要防止批量分配，可以使用正在使用的框架禁用批量分配功能，或者使用白名单仅允许对某些属性或变量进行分配。

（24）打开重定向

网站通常需要自动重定向其用户。例如，这个当未经身份验证的用户尝试访问页面时会发生这种情况需要登录。网站通常会将这些用户重定向到登录页面，然后在他们通过身份验证后将它们返回到原来的位置。