Stavo testando un'applicazione web in cui i cookie (ID di sessione, valori di sessione) sono gli stessi per tutte le volte. Anche dopo il successo dell'autenticazione, rimane invariato. L'ID di sessione viaggia sotto forma di un cookie HTTP.
Per indagare su una vulnerabilità di fissazione della sessione, ho inviato al mio collega un link come http://yoursite.com/?SID=1209023
, perché pensavo che il sito web avrebbe automaticamente assegnato l'ID della sessione vittima 1209023
per la futura navigazione della vittima sul sito. Ma non ha funzionato.
Quindi la mia applicazione non è influenzata in questo modo ma ha ancora gli stessi cookie. Esiste un altro modo per verificare l'esistenza di una vulnerabilità di fissazione della sessione nella mia applicazione?