Hay una aplicación web y estoy observando los valores de las cookies después de la autenticación con el proxy Burp. Hay 5 cookies diferentes, por ejemplo, c1
, c2
, c3
, c4
, c5
.
Cuando manipulé los valores de c1
, c2
y c3
, obtuve una respuesta de 200 OK, lo que significa que estas cookies no contienen información de la sesión.
Cuando manipulé los valores de c4
y c5
, obtuve una respuesta 302 y fui redirigido a la página de inicio de sesión. Esto significa que c4
y c5
son ID de sesión.
Mis preguntas son:
- ¿Tengo entendido que el sitio mantiene más de una ID de sesión?
- ¿Por qué se mantendrían las ID de múltiples sesiones? ¿Es para agregar algo de seguridad?