Non riesco davvero a capire l'attacco alla fissazione della sessione.
Ho letto la definizione OWASP che ha detto:
Session Fixation is an attack that permits an attacker to hijack a valid user session. The attack explores a limitation in the way the web application manages the session ID, more specifically the vulnerable web application. When authenticating a user, it doesn’t assign a new session ID, making it possible to use an existent session ID. The attack consists of obtaining a valid session ID (e.g. by connecting to the application), inducing a user to authenticate himself with that session ID, and then hijacking the user-validated session by the knowledge of the used session ID. The attacker has to provide a legitimate Web application session ID and try to make the victim's browser use it.
Allo stesso tempo, ho letto questo rapporto e il ricercatore della sicurezza afferma che la vulnerabilità questa è la sessione di fissazione della sessione rapporto di riparazione :
Summary:
The application does not set a new Session ID in the cookie after what appears to be an authentication attempt by the user. If this was a successful login and the Session IDs are stored in cookies then this application is affected by Session Fixation vulnerability.
La mia domanda è: la vulnerabilità in questo rapporto è la fissazione della sessione, ed è la procedura per testare questa vulnerabilità i passaggi della verifica della sessione di fissazione?