Unerwartete Sicherheitsfallen in Go's Parsern
Dateiparser in Go enthalten unerwartete Verhaltensweisen, die zu schwerwiegenden Sicherheitslücken führen können. Dieser Beitrag untersucht, wie JSON-, XML- und YAML-Parser in Go Edge-Fälle behandeln, was wiederholt zu hochwertigen Sicherheitsproblemen in Produktionsystemen geführt hat. Wir erkunden drei realistische Angriffsszenarien: Marshalling/Unmarshalling unerwarteter Daten, Ausnutzen von Parser-Differenzen und Ausnutzen von Datenformat-Verwirrung. Durch Beispiele demonstrieren wir, wie Angreifer Authentifizierung umgehen, Autorisierungssteuerungen umgehen und sensible Daten durch Ausnutzen dieser Parser-Verhaltensweisen extrahieren können.
