本想用appscan扫扫本站的应用,没想到就碰到问题了
在使用appscan扫描测试web应用时,出现如下图问题
图片.png
随即怀疑难道录制脚本有问题?不应该啊也跑了一段时间了,我先是手动访问了应用发现访问不了,应用挂了,自然而然的appscan连不上应用,无法测试了
为什么会挂,完全不知道什么情况,看web应用的日志,到这里结束了,我一时间也不知道什么情况引起的
图片.png
按我接下来的思路,我先是重启一遍web应用,然后再继续用appscan跑起来,果然不到一分钟应用又挂了,我肯定那个地方一定有问题,而且这种问题是大问题,必须解决,不然appscan扫描测试下,应用就挂了,那得多么脆弱。既然重启web应用没有效果,那肯定是appscan扫描测试时发送了什么请求导致的,web应用的日志也报错提示不正确的字符串。
但是我不知道是那个请求啊,发送了什么字符串导致的。所以我不知道在那个地方加个日志打印出来。换个思路,在appscan里面去找找看,但是找了一圈没找到有用的信息
只能用wireshark抓包了
但是抓不到数据,网上查了下,抓本地的数据包需要安装nmap工具,
图片.png
安装nmap(下载地址:https://nmap.org/download.html) 这个后会多出Npcap Loop back Adapter 这个选项,这样wireshark就可以抓本地数据包,
图片.png
重启web应用,重新用appscan扫描测试,应用也挂了,可以看到请求中POST http://192.168.1.20:8080/collection 包含特殊字符,但是我们并不能确定这就是罪魁祸首,我们需要进一步验证
图片.png
我们需要把请求单独POST出去试试,type参数设置了乱码内容,发送后可以看到没有响应,服务器也报错了,再手动打开浏览器访问
图片.png
图片.png
图片.png
问题已经重现了那接下来看看代码了
func (self *CollecController) Collec() {
t, typeid := self.Input().Get("type"), self.Input().Get("typeid")
tpid, _ := strconv.Atoi(typeid)
uid := self.GetSession("uid")
if uid == nil {
msg := map[string]interface{}{"code": 1, "msg": "need login"}
self.Data["json"] = &msg
self.ServeJSON()
}
if models.IsCollecExit(t, tpid, &models.User{Id: uid.(int)}) {
//收藏存在就删除,collection表做了多字段关联唯一键
models.DelCollection(t, tpid, &models.User{Id: uid.(int)})
msg := map[string]interface{}{"code": 0, "msg": "取消收藏成功"}
self.Data["json"] = &msg
self.ServeJSON()
} else {
//不存在就添加
collec := models.Collection{Type: t, TypeId: tpid, Uid: &models.User{Id: uid.(int)}}
models.AddCollection(&collec)
fmt.Println(2)
msg := map[string]interface{}{"code": 0, "msg": "success"}
self.Data["json"] = &msg
self.ServeJSON()
}
}
//收藏表结构
type Collection struct {
Id int
Type string //收藏类型 tid:帖子收藏
TypeId int
Uid *User `orm:"rel(fk)"`
}
客户端发送的 type参数为不正确的字符串,代码处理逻辑自然得不到正确的collection结构体,得不到正确的结构体,添加收藏函数就执行失败,而恰恰这个函数失败会执行log.Fatalln,这些这个log.Fatalln会有什么后果呢?
//添加收藏
func AddCollection(collection *Collection) {
o := orm.NewOrm()
_, err := o.Insert(collection)
if err != nil {
log.Fatalln(err.Error())
}
}
log.Fatalln 说明,会执行os.Exit退出,这才是真正的罪魁祸首
图片.png
网友评论