工具箱

我的工具箱起源

2020年，我在某保险公司项目上负责网络接入层的开发工作，内容是对接各家银行的接口，收发 XML 报文解析成我们内部系统统一的对象，然后传递给保险核心系统。

业务细节就不说了，在我负责的工作内容大致就是两个方向，一个是接收报文，一个是响应报文。由于各个银行那边不可能随时跟我们联调、并且保险核心系统也不可能随时和我们联调给我们改保单状态，这就造成我们想要测试的时候非常麻烦，有的保单是今天下单明天才能生效，进行后续的业务测试，我们就需要提前埋单给后面测试，非常不方便。

想要做工具的想法就在此时诞生了。

• 给银行响应 XML 报文使用的是 FreeMarker 作为引擎，为了能快速、反复测试我们的 FTL 模板文件，我就制作了：FreeMarker(FTL)在线测试工具，并将测试能力开放出来。
• 接收银行的 XML 报文，我们使用的 XPath 表达式来查询报文中的数据，为了能快速、反复的调试我们的 XPath 表达式，我就制作了：XPath在线测试工具，并将测试能力开放出来。

后续随着时间的推移，逐渐增加工具箱的功能，将我的能力开放分享出去，不会偷懒的程序员不是好工程师。

工具箱闭源与安全

2022年之前，我的工具箱是开源的，2023年我选择了闭源，并不是怕大家模仿或抄袭，天下代码一大抄，我也避免不了去 Google 抄别人的代码，闭源是因为安全考虑，且听我慢慢道来。

2022年1月，我自己发现我的：FreeMarker(FTL)在线测试工具，存在远程代码执行漏洞，可以通过传递 freemarker.template.utility.Execute 执行任意代码，这个是致命级别的漏洞，这相当于在服务器上开了一个后门，并且敞开大门随便进，还好程序运行在 Docker 中，并未造成更大的主机损失。

2022年7月，我自己发现我的：域名解析Dig查询工具，通过DNS查询时，如果域名的 NS 记录是攻击者自己的服务器地址，可以暴露服务器的真实源 IP 地址，源地址泄露，这就可以造成攻击者绕开我的 WAF 防火墙直接攻击我的服务器。

为了安全考虑，我决定闭源，并调整架构，危险命令交给第二台主机去执行，在第二台主机上的服务不再用原有 Java 代码，改用 Golang 去构建服务，提升效率。

各位极客、安全专家、安全领域爱好者，我不是安全领域的工作者只是普通开发，如果发现漏洞，还请手下留情，请联系我，我会在网站页面上公开感谢。