C'è un'applicazione web e sto osservando i valori dei cookie dopo l'autenticazione usando il proxy Burp. Esistono 5 diversi cookie, ad esempio c1
, c2
, c3
, c4
, c5
.
Quando ho manomesso i valori di c1
, c2
e c3
, ho ricevuto una risposta di 200 OK, il che significa che questi cookie non contengono informazioni di sessione.
Quando ho manomesso i valori di c4
e c5
, ho ricevuto una risposta 302 e sono stato reindirizzato alla pagina di accesso. Significa che c4
e c5
sono ID di sessione.
Le mie domande sono:
- La mia opinione è corretta sul sito che conserva più di un ID di sessione?
- Perché dovrebbero essere mantenuti ID di più sessioni? E 'per aggiungere un po' di sicurezza?