ZIP解压漏洞

使用编辑器（如010 Editor）打开压缩包，搜索“HelloWorld”字样

在搜索到的两处地方，都要将“HelloWorld.exe”修改为“../loWorld.exe”，即将前面三个字符“Hel”修改为“../”

保存后，打开压缩包一看，出现了，传说中的“../”：

在“ZIP炸弹”的表单里选择该压缩包并提交上传：

后台显示如下：

可以看到，由于“HelloWorld.exe”被修改为“../loWorld.exe”，因而被解压到上级目录去了（“../”代表上级目录）。

在“ZIP炸弹防范”的表单里选择该压缩包并提交上传：

后台显示如下：

后台在解压“../loWorld.exe” 的时候，检测到该被解压的文件不在安全目录下，因而拒绝将其解压出来，可以看到upload目录内和目录外均没有“loWorld.exe”。

表单的本意设计是可以选择一个本机内的压缩包，将其上传至服务器的\static\upload 目录，并且将其解压至当前目录下。

然而在ZipController的Post函数中，未对每一个被解压的文件名做校验，直接将文件解压路径传递给os.MkdirAll()函数，同时也未检查解压文件的数目、资源消耗情况，这可能会导致程序运行到本地资源被耗尽。

// 拼装指定的解压路径
var targetpath = filepath.Join(destpath, file.Name)
// 如果是目录则创建；如果是文件则把文件复制到指定的目的地
if file.FileInfo().IsDir() {
	os.MkdirAll(targetpath, file.Mode())/** 【错误】直接将文件路径传给MkdirAll()，缺乏事先的标准化**/
// 从压缩流中把内容复制到目的文件中，从打开的irc到新建的f
wt, err := io.Copy(f, irc) /** 【错误】未检查解压文件消耗情况  **/
if err != nil {
	fmt.Println("copy file content error.")
	break
虽然Windows系统并不允许正常文件名含有../的字符，但是先将文件放进压缩包中，再通过修改压缩包字节的方式修改包内文件名，仍然可以使得文件名含有../的字符。
 
所以当“HelloWorld.exe”被修改为“../loWorld.exe”后，解压的目录随之变成了static/upload/../loWorld.exe ，也就是“static/loWorld.exe”
 
于是同上一节的跨目录上传一样，产生了压缩包的跨目录压缩漏洞，通过这个漏洞，攻击者同样可以将文件上传到任意目录。
 
推荐防范措施：
 1） 在每解压一个条目之前都对文件路径进行校验，若校验不通过则跳过该条目，继续后面的解压；
 
// 拼装指定的解压路径
var targetpath = filepath.Join(destpath, file.Name)
// 拼接后再进行一次校验，确保是解压至安全目录下
// 正则匹配，\表转义
pattern := `\\static\\upload\\`
// 验证压缩包是否在安全路径下，防一手跨目录上传
if !validate(targetpath, pattern) {
	fmt.Println("unzip file not in security directory.")
	continue
校验的方式即为上一节的正则匹配，只要验证解压路径的子串是否含有安全目录即可。
 
2） 检查每一个条目的大小，如果条目太大（例如是100M）则会跳过该条目；
 
//判断文件大小是否超出限制
if written > TOOBIG {
	err = errors.New("The file too big!")
	break
3） 提前计算压缩包中的总条目数量，如果数量过大（例如超过1024个）则拒绝解压。
 
const TOO_MANY_FILE int = 1024
/**【修改】解压文件的数量超过1024限制 **/
if len(rc.File) > TOO_MANY_FILE {
	fmt.Println("Too many file will be unzip.")
	return false
比如这里，如果压缩包里的文件数目超过1024，则会出现如下输出并拒绝解压：
 
				
不好意思，"BeeGo框架实现的一个WEB应用实例"没有附带数据库，特此补正！
本应用是用BeeGo框架进行的一个WEB应用快速开发,是一个在生产环境实际运行的商业软件。
适用数据库MySQL，详细配置请参阅conf\global\app.ini。本应用打包部署工具为Bee。
前端采用了amazeui制作工作台页面，标准的左边菜单栏右边工作页面---一个适合各种此类应用的快速开发模板。其他还有ztree树形组件、echarts百度报表插件、paging分页组件。。
实现了几个单表的CRUD操作的几个模块，其中"子系统管理"模块探索了多表关联的复杂操作。并且为了实现模糊查询，试写了一个构造原生SQL进行分页查询的前后台组件，是进阶软件开发者不可多得的学习素材。
做为彩蛋，本作还用百度echarts报表插件实现了饼状图和柱状图两个报表。
欢迎各位Go语言爱好者加群学习讨论，BeeGo学习交流群 552015496。作者倾情奉献哦 (^_^)
				
Beego从0开始
Beego简介
​	Beego是一个基于Go语言开发的web框架，beego是一个快速开发Go应用的http框架，go 语言方面技术大牛。beego可以用来快速开发API、Web、后端服务等各种应用，是一个RESTFul的框架，主要设计灵感来源于tornado、sinatra、flask这三个框架，但是结合了Go本身的一些特性(interface、struct继承等)而设计的一个框架。
为什么使用Beego
爱国：Beego是一个由中国人开发的web框架，狂赞！66666666
				
1、专业不对口，你为什么选择软件测试
首先，面试官是为你对于“软件测试行业”的认知，其次是考核你对于未来职业发展方向的看法，如果你回答只是简单的这个行业简单、容易、工资高，这显然不是面试官想要得到的。你应该从一下几点回答：(仅供参考)　
1、自身兴趣，喜欢软件测试工作，喜欢找BUG。　　
2、 行业发展，测试行业属于朝阳行业，可持续发展。　　
3 、缺口大，目前行业内人较少，按照黄金比例国内严重不足。　　
4 、未来发展，随着国内对于软件质量越来越重视，发展将非常广阔。　　
5、 职业寿命长，积累行业经验。
硬件系统
计算机硬件中的运算器主要功能是对数据和信息进行运算和加工。运算器包括以下几个部分：通用寄存器、状态寄存器、累加器和关键的算术逻辑单元。运算器可以进行算术计算（加减乘除）和逻辑运算（与或非）。
控制器和运算器共同组成了中央处理器（CPU）。控制器可以看作计算机的大脑和指挥中心，它通过整合分析相关的数据和信息，可以让计算机的各个组成部分有序地完成指令。
主存(内存)和辅存(外存)，内存分为RAM和ROM，
RAM是随机存储器，断电后数据丢失，决定一个计算机能运行多少应
				
最近有个需求，需要写个脚本，但要编译为exe可执行文件，首先考虑python打包，奈何使用pyinstaller打包后，出现各种各样的运行错误，最后放弃了，改为golang重写。因为要用到创建和解压zip文件，golang中使用zip模块的功能，远没有python那么方便。
一、压缩部分
把文件或者文件夹压缩为zip文件，主要过程就是创建目的zip文件，然后遍历源目录，将源目录下的文件拷贝到目的zip文件中，最重要的2个方法：
1、zip.newWriter 创建一个向zip文件中写入的writer.
				
文章目录Java编码安全数据校验规则1.1：校验跨信任边界传递的不可信数据规则1.2：禁止直接使用不可信数据来拼接SQL语句规则1.4：禁止直接使用不可信数据来记录数据规则1.6：验证路径前将其标准化规则1.7：安全的从ZipInputStream提取文件规则1.8：禁止未经验证的用户输入直接输出到HTML界面规则1.10： 禁止程序数据进行增、删、改、查时对客户端请求的数据过分相信而遗漏对于权限的判定规则1.11：敏感数据在跨信任域之间传递采用签名加密传输
Java编码安全
本文根据Java安全开发Che
				
Beego的简介
中国人自己开发的Go应用框架，支持八大低耦合独立的模块，同时支持bee小工具，快速开发Go的应用程序，另外还自带了监控模块，类似于SpringBoot的 Actutar的功能
优点是大而全，缺点是过于臃肿了，在某些模块，比如mvc模块、orm模块，不如一些小而专的框架（Gin)
Orm框架
MVC路由
session管理
RestFul
配置文件...