Cuando el atacante usa un ID de sesión ya existente, ¿el servidor no sabe que el atacante ya ha tomado el ID de sesión?
El atacante enviaría un enlace con un ID de sesión que sea:
- no está registrado en absoluto en el servidor, es decir, solo un número aleatorio en el formato correcto, o
- para una sesión real que no ha iniciado sesión, por lo que aún no está asociada con ningún usuario.
Por lo tanto, el atacante nunca inicia sesión en el sitio. Sería tonto por parte del atacante enviar un ID de sesión para una sesión en la que ella haya iniciado sesión como ella misma, ¡ya que eso le daría a la víctima el control sobre la cuenta del atacante!
Cuando la víctima ingresa al sitio web, ¿qué puede hacer un atacante con eso? ¿Algún ejemplo?
Cuando la víctima inicia sesión, el ID de sesión en cuestión pasa de no estar asociado con ningún usuario a estar asociado con la víctima. Como el atacante conoce el ID de sesión, ahora puede usarlo para hacerse pasar por la víctima.
Esto significa que ella puede hacer cualquier cosa que la víctima pueda hacer en el sitio: crear y eliminar contenido, editar perfiles, lo que sea. Cualquier cosa que no requiera alguna forma de autenticación adicional, como volver a escribir su contraseña.