RSS Блог "След бит"
Подписаться
Непредвиденные уязвимости безопасности в парсерах языка Go
Парсеры файлов в Go содержат неожиданные поведения, которые могут привести к серьезным уязвимостям безопасности. В этом посте мы исследуем, как парсеры JSON, XML и YAML в Go обрабатывают граничные случаи, что неоднократно приводило к высокоопасным проблемам безопасности в производственных системах. Мы рассматриваем три реальных сценария атаки: маршалинг/демаршалинг неожиданных данных, эксплуатация дифференциалов парсера и использование неоднозначности формата данных. С помощью примеров мы демонстрируем, как атакующие могут обойти аутентификацию, обойти контроли доступа и вывести чувствительные данные, эксплуатируя эти поведения парсера.
