本项目是记录自己在学习研究Go安全过程中遇到的优秀内容,包括Go代码审计资源以及Go开发的应用程序组件协议等的安全内容。一个不会Go攻击的黑客不是一个好师傅,一个不懂Go安全的师傅不是一个好黑客!深入理解Go安全,手握众多重点Go应用高危0day漏洞!作者:0e0w
本项目创建于2022年3月15日,最近的一次更新时间为2023年6月9日。本项目会持续更新,直到海枯石烂。
一、优秀文章
- go代码审计@wh0ale
- Go语言代码审计实战@maoge
- GOLANG 代码审计笔记@军机故阁
- Go 代码审计高危漏洞(sqli\cmd\ssrf)@Zeo
- Go 代码审计漏洞(File Operation\Redirect\Cors)@Zeo
- Go代码审计—Gorm框架常见SQL注入场景@sec-in
- Xcheck之Golang安全检查引擎@Kg55nY
- Golang审计 恶意 zip 文件导致目录穿越文件上传@bingbingzi
- Go语言代码安全审计分享@mengz
- Go代码审计:Gitea远程命令执行漏洞链@phithon
- Go代码审计学习(一)@paidx0
- Go代码审计学习(二)@paidx0
二、优秀项目
三、其他资源
工欲善其事必先利其器,此处收集Go语言代码审计的工具。期待自己的代码审计工具能够早日发布!
一、SAST
二、Others
- https://github.com/quasilyte/go-ruleguard
- https://github.com/securego/gosec
- https://github.com/goer3/chang-e
- https://github.com/cyj19/go-web
此处收集整理Go安全漏洞研究的一些环境,包括Web环境,应用框架漏洞环境等。
- https://github.com/0c34/govwa
- https://github.com/Hardw01f/Vulnerability-goapp
- https://github.com/leveryd/go-sec-code
- https://github.com/george518/PPGo_Job
- https://github.com/XM-GO/PandaX
- https://github.com/xiusin/pinecms
- https://github.com/gogs/gogs
- https://github.com/go-gitea/gitea
- Go反序列化漏洞
- 任意命令执行漏洞
- 任意文件上传漏洞
- 任意文件写入漏洞
- 任意文件包含漏洞
- 任意文件删除漏洞
- SQL注入漏洞
- 业务逻辑漏洞
- 变量覆盖漏洞
- XSS漏洞
- XXE漏洞
- SSRF漏洞
- CSRF漏洞
一、Go语言代码审计实战
一、Go安全编码规范
二、Go安全漏洞修复
本人在学习Go安全的过程中遇到了很多优秀的Go安全研究员,感谢这些研究者!排名不分先后。
