文件读取/写入:
| API | 功能 | 可能存在的隐患 |
|---|---|---|
| os.Create | 创建或覆写文件 | 任意文件写入 |
| os.Open | 读取文件 | 任意文件读取 |
| os.OpenFile | 打开文件 | 任意文件写入/读取 |
| ioutil.ReadFile | 读取文件 | 任意文件读取 |
| ioutil.WriteFile | 创建或覆写文件 | 任意文件写入 |
文件下载:
Net/http包下的ServeFile函数。
BeegoOutput.Dowload
- 通过关键字
ServeFile|\.Download|os\.Create|os\.Open|os\.OpenFile|iotuil\.ReadFile|ioutil\.WriteFile搜索相关读取和保存文件的操作。 - 通过使用其他的API,可通过查看路由对应的操作查看是否有相关保存文件的动作,有则进一步判断是否可以控制文件路径进行进行任意文件下载。亦可使用模糊关键字
\.Down(|\.Save)|\.Write(搜索到对应的写文件操作。