林林杂语
·
西电信安协会招新系统 Golang 后端开发小记
💡
原文中文,约2400字,阅读约需6分钟。
📝
内容提要
今年1月,CopperKoi与我重做了协会的招新系统,前端使用Vite,后端使用Golang和gin。在开发过程中遇到CSRF防护和密码传输问题,最终通过HTTPS保障明文密码安全。公测时发现接口参数校验问题并解决。代码部署后发现JWT安全漏洞,需改进。
🎯
关键要点
- 今年1月,CopperKoi与我重做了协会的招新系统,前端使用Vite,后端使用Golang和gin。
- 开发过程中遇到CSRF防护和密码传输问题,最终通过HTTPS保障明文密码安全。
- 公测时发现接口参数校验问题,需使用指针或自定义类型来处理布尔值。
- GORM的默认主键自增从0开始,可能导致鉴权中间件问题,但使用UUID主键可以避免。
- 在公测前将JWT的secret从代码中提取到环境变量中,但因加载顺序问题导致安全漏洞。
- 攻击者可通过空密钥伪造JWT,直接接管受保护接口,需将secret硬编码以修复漏洞。
➡️
