Sheng-Han (Aysh) Su
Sheng-Han (Aysh) Su
I've made it work in https://github.com/lambci/docker-lambda , here are the changes need to be made: - Replace `flag` with `github.com/namsral/flag` to get settings from environment variables instead of command line...
Sorry @sheerun I ended up hosting this on EC2 because I found it would be too costly to host on Lambda in my production scenario.
splicing (接合)那段的意思應該是指(以下是舉例不是翻譯),如果你的 cookie 裡面存了整個 session 的資料,而且那個 session data 又可以在用戶端被修改(例如 session data 直接存在 cookie 值卻又沒 sign 過),那這樣使用者(攻擊者)就可以任意地去組合你的 session data 的資料,然後就可以藉此產生你原先設計中沒預期的操作流程 比方說 1. 使用者操作完第一步會拿到 `{"step1": true}` 在 session data 裡面 2. 伺服器仰賴...
我的理解是修改這件事其實來源是哪不重要,因為重點是最後伺服器可能會看到一組他沒辦法正常按照設計者的想法去處理的資料。伺服器其實也不會知道你從哪裡組出甚至猜出那筆有問題的 payload,一個有問題的值不管是從什麼樣子的想法做出來(自己猜出來或者從另外一個 cookie 接過來),對於伺服器看起來都一樣