원클릭으로 Manus에서 모든 스킬 실행

$pwd:

go-vuln-dos

Name: Go Vuln Dos
Author: yhy0

// Use when auditing Go code involving goroutine management, channel operations, HTTP request handling, resource allocation, or panic recovery. Covers CWE-400/770/476. Keywords: denial of service, goroutine leak, channel deadlock, panic recover, io.ReadAll, resource exhaustion, OOM, HTTP/2 abuse, protobuf, unbounded allocation, rate limiting

Manus에서 실행

$ git log --oneline --stat

stars:71

forks:11

updated:2026년 3월 14일 04:30

파일 탐색기

2 개 파일

SKILL.md

readonly

name	go-vuln-dos
description	Use when auditing Go code involving goroutine management, channel operations, HTTP request handling, resource allocation, or panic recovery. Covers CWE-400/770/476. Keywords: denial of service, goroutine leak, channel deadlock, panic recover, io.ReadAll, resource exhaustion, OOM, HTTP/2 abuse, protobuf, unbounded allocation, rate limiting

Go DoS/Resource Exhaustion Vulnerability Patterns (CWE-400/770/476)

当审计 Go 代码中涉及 goroutine 管理、channel 操作、HTTP 请求处理、资源分配、panic 恢复时加载此 Skill。

Detection Strategy

Sources（攻击入口）：

HTTP 请求 body（大 payload、大量并发请求）
gRPC 消息（protobuf 嵌套深度、repeated 字段大小）
WebSocket 帧（无限制的消息大小/频率）
P2P 网络消息（如 go-ethereum 的 peer message）
用户控制的分配大小参数

Sinks（资源消耗点）：

go func() -- 无限制的 goroutine 创建
make([]byte, userSize) / make([]T, userSize) -- 用户控制的内存分配
io.ReadAll(r) / ioutil.ReadAll(r) -- 读取整个 body 到内存
json.NewDecoder(r).Decode(&v) -- 无大小限制的 JSON 解码
yaml.Unmarshal(data, &v) -- YAML 解码（支持 anchor/alias 指数扩展）
proto.Unmarshal(data, msg) -- protobuf 解码无嵌套限制
panic() 在 HTTP handler 中未被 recover() 捕获
Channel 操作（ch <- v 阻塞、<-ch 永久等待）

Sanitization（资源限制屏障）：

io.LimitReader(r, maxSize) -- 限制读取大小
http.MaxBytesReader(w, r.Body, maxSize) -- HTTP body 大小限制
context.WithTimeout / context.WithDeadline -- 超时控制
Goroutine pool（worker pattern, semaphore.Weighted）
recover() 在 goroutine 入口
Rate limiting 中间件（golang.org/x/time/rate）
Channel 缓冲区大小限制 + select with default

检测路径：

# Goroutine 创建
grep -rn "go func\|go .*(" --include="*.go"
# 无限制读取
grep -rn "io.ReadAll\|ioutil.ReadAll\|io.Copy" --include="*.go"
# 内存分配
grep -rn "make(\[\]byte\|make(\[\]" --include="*.go"
# Panic/Recover
grep -rn "panic(\|recover()" --include="*.go"
# JSON/YAML/Protobuf 解码
grep -rn "json.NewDecoder\|json.Unmarshal\|yaml.Unmarshal\|proto.Unmarshal" --include="*.go"
# 资源限制
grep -rn "LimitReader\|MaxBytesReader\|context.WithTimeout" --include="*.go"
# Channel 操作
grep -rn "make(chan\|<-.*chan" --include="*.go"

搜索资源消耗点（goroutine 创建、内存分配、IO 读取、解码操作）
追踪输入来源，确认是否来自不可信外部输入
验证是否有资源限制：
- io.ReadAll 之前是否有 LimitReader/MaxBytesReader？
- Goroutine 是否有退出条件（context cancellation、done channel）？
- make([]T, size) 的 size 是否有上限检查？
- HTTP handler 是否有 recover() 中间件防止 panic 导致进程崩溃？
- JSON/protobuf 解码是否限制了嵌套深度或大小？
若无资源限制 -> 标记为候选漏洞

Detection Checklist

Goroutine 泄漏审计 (CWE-400)：go func() 内部是否有退出条件？是否监听 ctx.Done() 或 done channel？无退出条件的 goroutine 在请求取消后仍会占用资源。
io.ReadAll 无限制审计 (CWE-770)：是否直接 io.ReadAll(r.Body) 而未使用 http.MaxBytesReader 或 io.LimitReader 限制？攻击者可发送超大 body 导致 OOM。
make([]byte, size) 分配审计 (CWE-789)：size 是否来自用户输入？是否有上限检查？直接 make([]byte, userSize) 可用于 OOM 攻击。
HTTP Handler Panic 恢复审计 (CWE-476)：注意 Go 标准库 net/http 的 Server 内置了 per-request recover()，单个 handler panic 不会导致进程崩溃（但会关闭该连接）。第三方框架（如 gin/echo）通常也有内置 recovery 中间件。真正危险的是在 handler 中启动的 子 goroutine 中 panic（不受 HTTP server recover 保护）。对于不安全的类型断言（如 data["key"].(string)），应使用 comma-ok 模式 v, ok := data["key"].(string) 避免 panic。
Channel 死锁审计 (CWE-400)：无缓冲 channel（make(chan T)）在发送端/接收端缺失时是否会永久阻塞？select 是否包含 default 或 timeout 分支？
JSON/YAML/Protobuf 大小限制审计 (CWE-770)：json.NewDecoder(r).Decode() 是否限制了输入大小？YAML 的 anchor/alias 是否允许指数级扩展（"billion laughs"）？Protobuf 嵌套深度是否有限制？
HTTP/2 流滥用审计 (CWE-400)：Go HTTP/2 server 是否配置了 MaxConcurrentStreams？是否容易受到 rapid reset 攻击（CVE-2023-44487）？
自引用/循环引用审计 (CWE-400)：etcd gateway 风格的配置中，服务是否可能将自身作为后端端点，形成无限循环？DNS 或服务发现是否可能形成环路？
WebSocket 消息限制审计 (CWE-770)：WebSocket 连接是否配置了 SetReadLimit？是否有消息频率限制？

False Positive Exclusion Guide

以下模式不是此类漏洞：

go func() 在 init() 中启动的后台 worker -- 生命周期与进程相同，不会泄漏
io.ReadAll 读取小文件或内部配置 -- 来源可信且大小可控
panic 用于编程错误检测 -- 如 panic("unreachable") 在 switch default 中
带 context.WithTimeout 的 goroutine -- 有超时退出机制

以下模式需要深入检查：

go func() 在 HTTP handler 中 -- 每个请求创建 goroutine 且无 pool 限制
json.Decoder 在 API endpoint -- 未设置 MaxBytesReader 的 HTTP handler
recover() 在 goroutine 内但不在 HTTP handler 链 -- 可能只保护了子 goroutine 但 handler 本身可 panic
select {} 永久阻塞 -- 在某些情况下是有意设计，但也可能是 bug

Real-World Cases

详见 references/cases.md（7 个真实案例，需要时加载）。

related-skills.json

같은 저장소

ghsa-skill-builder.md

from "yhy0/ghsa-skill-builder"

Use when building or updating vulnerability pattern Skills from multiple sources: GitHub Security Advisories (GHSA), HackerOne Hacktivity, or NVD. Triggers on keywords: GHSA, CVE, vulnerability skill, vuln pattern, update skills, security advisory, HackerOne, H1, hacktivity, pentest skill, bug bounty, check for updates.

2026-03-1471

ghsa-skill-builder.md

from "yhy0/ghsa-skill-builder"

2026-03-1471

go-vuln-auth-bypass.md

from "yhy0/ghsa-skill-builder"

Use when auditing Go code involving authentication flows, RBAC policies, Kubernetes admission webhooks, JWT/OAuth token validation, or privilege escalation in cloud-native infrastructure. Covers CWE-287/863/269/284/285/862. Keywords: authentication bypass, authorization bypass, RBAC, admission webhook, JWT, OAuth, privilege escalation, Rancher, Kyverno, impersonation, namespace isolation, middleware auth

2026-03-1471

go-vuln-crypto-tls.md

from "yhy0/ghsa-skill-builder"

Use when auditing Go code involving TLS configuration, certificate validation, JWT token parsing, SAML assertion verification, webhook signature checking, or cryptographic operations. Covers CWE-295/347/345. Keywords: InsecureSkipVerify, TLS, mTLS, certificate validation, JWT algorithm, SAML signature, cosign, sigstore, hmac.Equal, X.509, webhook HMAC

2026-03-1471

go-vuln-info-disclosure.md

from "yhy0/ghsa-skill-builder"

Use when auditing Go code involving logging, error handling, HTTP response data, Kubernetes Secret management, or credential storage. Covers CWE-200/532/522/312/552. Keywords: information disclosure, credential leak, log exposure, Kubernetes Secret, json tag, struct formatting, error message, stack trace, Rancher, Argo CD, sensitive data

2026-03-1471

go-vuln-injection.md

from "yhy0/ghsa-skill-builder"

Use when auditing Go code involving OS command execution, SQL queries, template rendering, or child command invocation. Covers CWE-78/89/77/94/88. Keywords: command injection, SQL injection, exec.Command, os/exec, database/sql, text/template, html/template, argument injection, shell injection, Gogs, Grafana, MCP stdio

2026-03-1471

package.json

"author": "yhy0"

"repository": "yhy0/ghsa-skill-builder"

GitHub 저장소 열기 Creator 저장소 보기

$ install --global

$ download --local

Manus에서 실행

$ useful --forSOC

정보 보안 분석가컴퓨터 및 수학직15-1212L4

name	go-vuln-dos
description	Use when auditing Go code involving goroutine management, channel operations, HTTP request handling, resource allocation, or panic recovery. Covers CWE-400/770/476. Keywords: denial of service, goroutine leak, channel deadlock, panic recover, io.ReadAll, resource exhaustion, OOM, HTTP/2 abuse, protobuf, unbounded allocation, rate limiting

Go DoS/Resource Exhaustion Vulnerability Patterns (CWE-400/770/476)

当审计 Go 代码中涉及 goroutine 管理、channel 操作、HTTP 请求处理、资源分配、panic 恢复时加载此 Skill。

Detection Strategy

Sources（攻击入口）：

HTTP 请求 body（大 payload、大量并发请求）
gRPC 消息（protobuf 嵌套深度、repeated 字段大小）
WebSocket 帧（无限制的消息大小/频率）
P2P 网络消息（如 go-ethereum 的 peer message）
用户控制的分配大小参数

Sinks（资源消耗点）：

go func() -- 无限制的 goroutine 创建
make([]byte, userSize) / make([]T, userSize) -- 用户控制的内存分配
io.ReadAll(r) / ioutil.ReadAll(r) -- 读取整个 body 到内存
json.NewDecoder(r).Decode(&v) -- 无大小限制的 JSON 解码
yaml.Unmarshal(data, &v) -- YAML 解码（支持 anchor/alias 指数扩展）
proto.Unmarshal(data, msg) -- protobuf 解码无嵌套限制
panic() 在 HTTP handler 中未被 recover() 捕获
Channel 操作（ch <- v 阻塞、<-ch 永久等待）

Sanitization（资源限制屏障）：

io.LimitReader(r, maxSize) -- 限制读取大小
http.MaxBytesReader(w, r.Body, maxSize) -- HTTP body 大小限制
context.WithTimeout / context.WithDeadline -- 超时控制
Goroutine pool（worker pattern, semaphore.Weighted）
recover() 在 goroutine 入口
Rate limiting 中间件（golang.org/x/time/rate）
Channel 缓冲区大小限制 + select with default

检测路径：

# Goroutine 创建
grep -rn "go func\|go .*(" --include="*.go"
# 无限制读取
grep -rn "io.ReadAll\|ioutil.ReadAll\|io.Copy" --include="*.go"
# 内存分配
grep -rn "make(\[\]byte\|make(\[\]" --include="*.go"
# Panic/Recover
grep -rn "panic(\|recover()" --include="*.go"
# JSON/YAML/Protobuf 解码
grep -rn "json.NewDecoder\|json.Unmarshal\|yaml.Unmarshal\|proto.Unmarshal" --include="*.go"
# 资源限制
grep -rn "LimitReader\|MaxBytesReader\|context.WithTimeout" --include="*.go"
# Channel 操作
grep -rn "make(chan\|<-.*chan" --include="*.go"

搜索资源消耗点（goroutine 创建、内存分配、IO 读取、解码操作）
追踪输入来源，确认是否来自不可信外部输入
验证是否有资源限制：
- io.ReadAll 之前是否有 LimitReader/MaxBytesReader？
- Goroutine 是否有退出条件（context cancellation、done channel）？
- make([]T, size) 的 size 是否有上限检查？
- HTTP handler 是否有 recover() 中间件防止 panic 导致进程崩溃？
- JSON/protobuf 解码是否限制了嵌套深度或大小？
若无资源限制 -> 标记为候选漏洞

Detection Checklist

Goroutine 泄漏审计 (CWE-400)：go func() 内部是否有退出条件？是否监听 ctx.Done() 或 done channel？无退出条件的 goroutine 在请求取消后仍会占用资源。
io.ReadAll 无限制审计 (CWE-770)：是否直接 io.ReadAll(r.Body) 而未使用 http.MaxBytesReader 或 io.LimitReader 限制？攻击者可发送超大 body 导致 OOM。
make([]byte, size) 分配审计 (CWE-789)：size 是否来自用户输入？是否有上限检查？直接 make([]byte, userSize) 可用于 OOM 攻击。
HTTP Handler Panic 恢复审计 (CWE-476)：注意 Go 标准库 net/http 的 Server 内置了 per-request recover()，单个 handler panic 不会导致进程崩溃（但会关闭该连接）。第三方框架（如 gin/echo）通常也有内置 recovery 中间件。真正危险的是在 handler 中启动的 子 goroutine 中 panic（不受 HTTP server recover 保护）。对于不安全的类型断言（如 data["key"].(string)），应使用 comma-ok 模式 v, ok := data["key"].(string) 避免 panic。
Channel 死锁审计 (CWE-400)：无缓冲 channel（make(chan T)）在发送端/接收端缺失时是否会永久阻塞？select 是否包含 default 或 timeout 分支？
JSON/YAML/Protobuf 大小限制审计 (CWE-770)：json.NewDecoder(r).Decode() 是否限制了输入大小？YAML 的 anchor/alias 是否允许指数级扩展（"billion laughs"）？Protobuf 嵌套深度是否有限制？
HTTP/2 流滥用审计 (CWE-400)：Go HTTP/2 server 是否配置了 MaxConcurrentStreams？是否容易受到 rapid reset 攻击（CVE-2023-44487）？
自引用/循环引用审计 (CWE-400)：etcd gateway 风格的配置中，服务是否可能将自身作为后端端点，形成无限循环？DNS 或服务发现是否可能形成环路？
WebSocket 消息限制审计 (CWE-770)：WebSocket 连接是否配置了 SetReadLimit？是否有消息频率限制？

False Positive Exclusion Guide

以下模式不是此类漏洞：

go func() 在 init() 中启动的后台 worker -- 生命周期与进程相同，不会泄漏
io.ReadAll 读取小文件或内部配置 -- 来源可信且大小可控
panic 用于编程错误检测 -- 如 panic("unreachable") 在 switch default 中
带 context.WithTimeout 的 goroutine -- 有超时退出机制

以下模式需要深入检查：

go func() 在 HTTP handler 中 -- 每个请求创建 goroutine 且无 pool 限制
json.Decoder 在 API endpoint -- 未设置 MaxBytesReader 的 HTTP handler
recover() 在 goroutine 内但不在 HTTP handler 链 -- 可能只保护了子 goroutine 但 handler 本身可 panic
select {} 永久阻塞 -- 在某些情况下是有意设计，但也可能是 bug

Real-World Cases

详见 references/cases.md（7 个真实案例，需要时加载）。

go-vuln-dos

Go DoS/Resource Exhaustion Vulnerability Patterns (CWE-400/770/476)

Detection Strategy

Detection Checklist

False Positive Exclusion Guide

Real-World Cases

이 저장소의 다른 Skills

이 저장소의 다른 Skills

Go DoS/Resource Exhaustion Vulnerability Patterns (CWE-400/770/476)

Detection Strategy

Detection Checklist

False Positive Exclusion Guide

Real-World Cases