Операция выполнена!

info@vsetut.pro

Стать автором

Вернуться

Как незаметная indirect-зависимость в Go дописала ручку в ваш HTTP-сервер

17.06.2026 13:17:09 | Хабр

Хабы: Go, Информационная безопасность

Аккуратный Go-сервис на net/http с единственной ручкой /time. Обновляем одну библиотеку через go get, не трогая свой код. После рестарта в сервисе появляется ручка /__injected, которая отдаёт строки из памяти процесса. Мы её не регистрировали — а пакет, который это сделал, формально даже не используется.

Разбираю шаг за шагом, как такое возможно: модель зависимостей Go и коварство //indirect, тихий вход через init(), сканирование кучи и unsafe. Pointer для поиска ServeMux в работающем сервере. И, конечно, как от этого защищаться — от аудита зависимостей до seccomp и read-only ФС.

Весь код — в репозитории, «вредонос» написан в учебных целях. Запускать только в песочнице.

Разобрать «вредоноса»

Подробнее

Читайте также

Ох уж это многопоточное программирование
17.06.2026 13:11:25 | Хабр

QA. Как навести порядок на проекте, в котором есть проблемы (Часть 3)
17.06.2026 13:06:32 | Хабр

Оптический компьютер из телефона и зеркала: считаем нейросеть светом
17.06.2026 13:05:01 | Хабр

Docker Fundamentals: теория и базовая эксплуатация
17.06.2026 13:01:58 | Хабр

Как использовать новые Qwen3.7 Plus в России и GLM 5.2 на русском
17.06.2026 12:56:31 | Хабр

Игры — зло или легальный дофамин? Смотрим на реальные когнитивные эффекты и стандарты ВОЗ
17.06.2026 12:49:17 | Хабр

Сертификат ФСТЭК, реестр ПО и ГОСТ: что банк проверяет при выборе MDM
17.06.2026 12:48:19 | Хабр

ACPI: тайна взаимодействия прошивки и ОС
17.06.2026 12:41:16 | Хабр

Российские ученые измерили электрические силы внутри фермента
17.06.2026 12:40:23 | ferra.ru

Как в 1915 году взялись собирать базу данных на всю страну без единого компьютера
17.06.2026 12:39:18 | Хабр

Лонсдейлитовая кромка. Перспективы искусственного расширения шкалы Мооса. Guest Post
17.06.2026 12:37:19 | Хабр

Нейросетевой эквалайзер на PlutoSDR: от синтетики к железу
17.06.2026 12:36:41 | Хабр

Как научить ИИ-ассистента писать тесты и моделировать угрозы безопасности в процессе кодинга
17.06.2026 12:26:57 | Хабр

Цена одного канала видеонаблюдения на нейронных сетях
17.06.2026 12:20:52 | Хабр

Алексей Молодых: Зрелый рынок e-com требует новых правил, институтов и стратегий
17.06.2026 12:05:00 | it-world

Зрелый рынок e-com требует новых правил, институтов и стратегий
17.06.2026 12:05:00 | it-world

Интервью автора легендарной Elite Йена Белла (Эксклюзив для Хабра)
17.06.2026 12:01:02 | Хабр

Локализовать нельзя ошибиться. Как работает локализация в автономном транспорте и почему это — самая сложная задача. 2/2
17.06.2026 11:56:54 | Хабр

Фотосессия в нейросети: 41 промпт для реалистичных ИИ-фото
17.06.2026 11:56:32 | Хабр

«Яндекс Пэй» запустил возможность переводить баллы «Плюса» в рубли для всех пользователей с максимальным уровнем программы лояльности
17.06.2026 11:53:15 | vc.ru

ZPL, TSPL, Bluetooth и прочая печатная херабора на складе и в магазине: мобильная печать без костылей
17.06.2026 11:42:25 | Хабр

Американская Nimble выпустила модульный пауэрбанк SharePower мощностью 35 Вт, который можно раделить на два самостоятельных устройства
17.06.2026 11:37:15 | vc.ru

На Anthropic подали в суд за обман клиентов в подписках Claude Max
17.06.2026 11:36:44 | ferra.ru

Как мы считаем недельное меню в Pikni Food: пачки, остатки и solver вместо списка рецептов
17.06.2026 11:34:51 | Хабр

Порядок против хаоса: как не проиграть в битве за понятную документацию?
17.06.2026 11:31:49 | Хабр

Серьёзная ретро-консоль за адекватные деньги: разбираем по винтикам DVTech And-001
17.06.2026 11:29:02 | Хабр

Московские рестораны в «Яндекс Еде» получили возможность потестировать продажу «секретных наборов» по фиксированной цене
17.06.2026 11:28:45 | vc.ru

Как запустить бота в Max самозанятому
17.06.2026 11:26:18 | Хабр

Мультиверсионный UI-кит с RWC: один JS-API для разных веб-компонентов
17.06.2026 11:00:41 | Хабр

Новые правила Хабра. Версия от 2026
17.06.2026 11:00:34 | Хабр

Генерация тестовой документации с ИИ
17.06.2026 10:46:33 | Хабр

GPUGO: простая облачная платформа для ML-задач
17.06.2026 10:45:03 | Хабр

[Перевод] Математики предупредили об угрозах, которые ИИ представляет для их профессии
17.06.2026 10:44:27 | Хабр

Nightmare Eclipse: один против Microsoft
17.06.2026 10:41:41 | Хабр

Хабр не рендерится в лид-форму: как маркетогоги пытаются превратить плохие статьи в верх воронки
17.06.2026 10:40:02 | Хабр

Смотреть все

НОВОСТИ

Стало известно, на каких машинах сконцентрируется марка Volga
24.06.2026 17:40:00 | За рулем

В пролёте: Туристы вторые сутки не могут вылететь в Турцию из Сочи
20.06.2026 14:07:28 | Life.ru

Кассету с тайной записью Цоя нашли в Швеции — она пылилась в архиве 30 лет
20.06.2026 14:06:44 | Life.ru

Опрос показал отношение поляков к украинцам
20.06.2026 14:05:13 | Life.ru

Тысячи человек уже неделю ищут 8-летнего Хизира в Ингушетии: что известно к этому моменту
20.06.2026 14:03:19 | Life.ru

Отражена атака БПЛА на Тюменский НПЗ, завод не пострадал
20.06.2026 14:03:18 | Life.ru

Мамедов: российские саблистки бились за золото ЧЕ как львицы
20.06.2026 14:02:20 | ТАСС

Саммит ЕС: как свести к фарсу робкий импульс к диалогу с Россией?
20.06.2026 14:00:00 | ТАСС

В Самарской области в 2025 году сифилис подтвердили у трёх детей
20.06.2026 13:59:07 | Life.ru

Что пишут СМИ о сенсационном вылете сборной Турции с ЧМ по футболу
20.06.2026 13:58:00 | Российская Газета

Что пишут СМИ о неудаче сборной Турции на ЧМ по футболу
20.06.2026 13:58:00 | Российская Газета

Gigabyte добавила поддержку Ryzen 9 Pro 9965X3D и четырех других Pro-CPU в свои потребительские платы
20.06.2026 13:57:00 | iXBT.com

Бензин за сотню: ФАС взялась за цены на топливо на АЗС Тульской области
20.06.2026 13:53:30 | Life.ru

Создатель игр Assassin’s Creed и Far Cry погиб во Франции
20.06.2026 13:53:03 | Lenta.ru

Белорусский зубр встречает гостей, выпуская пар из ноздрей
20.06.2026 13:53:00 | Российская Газета

Акинфеев заявил, что может не успеть восстановиться к старту сезона РПЛ
20.06.2026 13:52:00 | РБК

Востребованные направления: Больше всего бюджетных мест в ВУЗах отдали будущим учителям, врачам и инженерам
20.06.2026 13:51:01 | Life.ru

Легкоатлет Шубенков заявил, что ему грустно от собственных результатов
20.06.2026 13:50:24 | ТАСС

Переселенцам Курской области с августа 2024 года выплатили почти 250 млрд рублей
20.06.2026 13:49:29 | Life.ru

На Украине экс-министра заподозрили в помощи музыкантам в выезде за рубеж
20.06.2026 13:49:24 | РБК

Бастрыкину доложат о расследовании дела об осквернении мемориала в КБР
20.06.2026 13:49:09 | ТАСС

Риска распространения лихорадки денге в России нет
20.06.2026 13:48:54 | Life.ru

Губернатор сообщил об отражении атаки БПЛА на Тюменский НПЗ
20.06.2026 13:47:47 | РБК

Страдальцам от мигрени назвали «золотую рыбку», которая исполнит их главное желание
20.06.2026 13:47:25 | Life.ru

Оливия Этвуд дала важный совет женщинам после удаления опухоли
20.06.2026 13:45:43 | Life.ru

В Тюменской области отразили атаку БПЛА на НПЗ
20.06.2026 13:45:20 | ТАСС

Сооснователь гиганта видеоигр Ubisoft погиб в авиакатастрофе во Франции
20.06.2026 13:44:43 | РБК

ВСУ уничтожили генератор детского сада в Энергодаре
20.06.2026 13:44:13 | ТАСС

Карл III отреагировал на смертельное крушение поезда на юге Англии
20.06.2026 13:43:52 | Life.ru

Карл III выразил соболезнования семье погибшего в крушении поездов машиниста
20.06.2026 13:43:52 | Life.ru

Карл III выразил соболезнования пострадавшим в столкновении поездов в Англии
20.06.2026 13:43:52 | Life.ru

WSJ узнала о судьбе замороженных активов Ирана
20.06.2026 13:42:11 | РБК

Акинфеев пообещал помогать тренерскому штабу ЦСКА
20.06.2026 13:41:37 | РБК

Раскрыты новые подробности боев за Константиновку
20.06.2026 13:40:57 | Lenta.ru

Лауреатов премии в сфере креативных индустрий определили в Чувашии
20.06.2026 13:40:04 | ТАСС

Все новости

ВСЕ НОВОСТИ

ПИШИТЕ

Техническая поддержка проекта ВсеТут

info@vsetut.pro

Copyright © 2026 - vsetut.pro