采用gorilla库导致API2的Cookie伪造不可用 #6
Description
稍微跟了一下,gorilla对cookie的处理中,只是用key把session id解出来
然后去找对应的文件读取用户的信息
所以只有在知道session id的情况下才能伪造用户cookie
导致API2: Broken authentication无法正常工作
虽然/static/sessions/路由能看到id,但与预期解法不一致了
{{ message }}
稍微跟了一下,gorilla对cookie的处理中,只是用key把session id解出来
然后去找对应的文件读取用户的信息
所以只有在知道session id的情况下才能伪造用户cookie
导致API2: Broken authentication无法正常工作
虽然/static/sessions/路由能看到id,但与预期解法不一致了