Una vez que se roba una cookie de la sesión de un usuario legítimo, ¿puedo realizar un ataque de repetición de cookies a ese usuario?
Puedo realizar con éxito un ataque de repetición de cookies en el mismo sistema, pero quiero intentarlo si el ataque de repetición de cookies es posible desde un sistema externo. ¿Es esto posible?
No estoy realmente seguro de lo que quieres decir exactamente con "ataque de repetición de cookies", pero supongo que te refieres al uso de una cookie capturada por el atacante para secuestro de sesión reutilizando una cookie de sesión capturada.
Si esto es posible, depende de la información que la aplicación web asocie con la cookie. Si asocia una huella digital del navegador o la información de la sesión SSL con la cookie, puede detectar el secuestro de la sesión cuando el atacante usa otro navegador. Si asocia la dirección IP del cliente con él, podría detectar si la cookie se usa desde otra dirección IP del cliente. Si no asocia ninguna información similar o similar con la cookie, no podrá detectar el secuestro de la sesión.