È considerato JSessionID per il sovraccarico della variabile di sessione (noto anche come Session Puzzling)?
- Un'applicazione web java è distribuita in HTTPS
- Un utente amministratore accede all'applicazione. Dopo l'accesso, viene emesso un nuovo JSessionID.
- Un altro utente non amministratore riesce a ottenere l'ID amministratore Jsession
- Usando quell'ID Jsession l'utente non amministratore esegue alcune funzioni di amministrazione.
Può essere considerato un rompicapo di sessione?