When the attacker uses an already existing session ID, doesn't the server know that the session id has already been taken by the attacker?
L'utente malintenzionato invia un collegamento con un ID sessione che può essere:
- non è affatto registrato sul server - ovvero solo un numero casuale nel formato corretto o
- per una sessione effettiva che non ha effettuato l'accesso, quindi non è ancora associata a nessun utente.
Quindi l'attaccante non si collega mai sul sito. Sarebbe sciocco da parte dell'attaccante inviare un ID di sessione per una sessione in cui ha effettuato l'accesso come se fosse lei stessa, poiché ciò darebbe alla vittima il controllo sull'account degli hacker!
When the victim logs into the website, what can an attacker do with it? Any examples?
Quando la vittima si connette, l'ID di sessione in questione passa dal non essere associato con alcun utente ad essere associato alla vittima. Poiché l'autore dell'attacco conosce l'ID della sessione, ora può utilizzarlo per impersonare la vittima.
Ciò significa che può fare qualsiasi cosa che la vittima potrebbe fare sul sito - creare ed eliminare contenuti, modificare profili, qualunque cosa. Tutto ciò che non richiede alcune forme di autenticazione aggiuntive come la ridigitazione della password.