Sto testando l'applicazione ASP.NET, dove l'ID di sessione (ASP.NET_SessionId) non viene rinnovato dopo l'accesso. In realtà si rinnova quando utilizzo il browser, sul server della pagina di accesso invia:
Set-Cookie: ASP.NET_SessionId=; expires=Sun, 25-Jun-2017
Ma se modifico la risposta ad esempio in Burp e rimuovo questa dichiarazione, posso accedere utilizzando il vecchio cookie e questo cookie non verrà rinnovato. Questo cookie dovrebbe essere rinnovato anche in questo caso? È possibile la fissazione della sessione ASP.NET utilizzando solo ASP.NET_SessionId? In .NET per accedere è necessario avere ASP.NET_SessionId, oltre a .ASPXAUTH?