Caddy 背景

Caddy（又称 Caddy Server 或 Caddy 2）是一个用 Golang 编写的现代开源 Web 服务器，设计注重易用性和高度可配置性。caddy-security 是其安全中间件插件，提供表单认证、OAuth 2.0、SAML 等多种身份验证方式。

漏洞发现

漏洞 1：反射型 XSS 攻击

严重性：高危

通过构造/admin%22%3E%3Cscript%3Ealert(document.domain)%3C/script%3E/admin/login等恶意 URL 可执行任意 JavaScript 代码。建议使用 Go 的safehtml/template包进行 HTML 转义，并实施内容安全策略(CSP)。

漏洞 2：不安全随机数生成

严重性：高危

使用基于时间戳的math/rand生成 OAuth nonce 值，可能导致认证绕过。应立即改用crypto/rand加密安全随机数生成器。

漏洞 3：通过 X-Forwarded-For 头进行 IP 欺骗

严重性：中危

攻击者可伪造 IP 地址绕过身份验证。解决方案是避免依赖用户提供的头部，或通过正则表达式严格验证 IP 格式。

漏洞 4：基于 Referer 头的 XSS

严重性：中危

虽然对特殊字符进行了转义，但未处理javascript:协议形式的攻击载荷。修复方案同漏洞 1。

漏洞 5：开放重定向漏洞

严重性：中危

通过特制redirect_url参数可将用户导向恶意网站。应严格验证重定向 URL 的域名合法性。

漏洞 6：X-Forwarded-Host 头操纵

严重性：中危

可能导致 Web 缓存污染、SSRF 等攻击。建议在配置文件中硬编码域名而非依赖请求头。

漏洞 7：X-Forwarded-Proto 头操纵

严重性：低危

可能引发协议混淆。应对该头值进行白名单校验（仅允许 HTTP/HTTPS）。

漏洞 8：2FA 验证码暴力破解

严重性：低危

缺乏有效的尝试次数限制。建议实施六位数验证码和账户锁定机制。

漏洞 9：注销时会话未失效

严重性：低危

/logout 端点未正确终止会话。应确保 OAuth 令牌及时失效。

漏洞 10：Caddyfile 解析崩溃

严重性：低危

未对 nil 输入进行检查导致 panic。建议添加 Go 原生模糊测试。

Golang 安全实践

我们建议开发者：

1. 在 CI/CD 中集成 Semgrep 静态分析（如math-random-used规则）

2. 参考《Real World Cryptography》实施密码学最佳实践

3. 对关键操作强制重新认证

漏洞披露时间线

• 2023 年 8 月 7 日：向维护者报告漏洞

• 8 月 23 日：维护者确认暂无修复计划

• 9 月 18 日：公开披露漏洞详情更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）公众号二维码

• 

  办公AI智能小助手