¿Es posible usar una cookie secuestrada pero cifrada?

Si la víctima estaba usando TLS, tampoco era capaz de obtener la cookie en absoluto; todo lo que vería en ese caso es un apretón de manos seguido de una secuencia de tráfico cifrado (texto cifrado), sin ninguna forma de identificar "esta parte es una cookie", o usted pudo hacerles Man-in-the-Middle (MitM) debido a que eludió la validación del certificado de alguna manera (o recibió un certificado fraudulento). O tal vez robó la cookie de otra manera (¿una pérdida de memoria del cliente o del servidor? ¿XSS en una cookie que no sea de HttpOnly?) Y no puede leer el tráfico de red del cliente.

En el primer caso (ataque de red contra el cliente utilizando TLS), incluso si de alguna manera identifica qué bytes del texto cifrado TLS son la cookie, no le servirá de nada. No sabes cómo descifrar la cookie, y TLS usa claves diferentes para cada sesión cifrada, por lo que si intentas simplemente reproducir el mensaje, el servidor no lo descifra a lo que creías que era.

En el segundo caso (MitM exitoso en la conexión TLS, o no TLS en absoluto), definitivamente puede reutilizar la cookie. Lo mismo ocurre con el tercer caso (cookie robada a través de un ataque de canal lateral). Cualquier cosa que le dé la cookie en texto sin formato le permitirá usarla, a menos que el servidor realice un filtrado adicional (como vincular cada sesión a una dirección IP, y no esté en la misma dirección externa que el atacante ... pero esto es muy poco frecuente).

Tu pregunta es extremadamente amplia, estoy tratando de responder de todos modos.

1. las cookies de sesión y https no tienen absolutamente nada que ver entre sí. https usa TLS que significa "Seguridad de la capa de transporte". La capa de transporte está encriptada. Las cookies de sesión se envían en la capa de aplicación. La aplicación que recibe las cookies generalmente no tiene conocimiento de cómo obtuvo la cookie.
2. Si una cookie robada puede usarse o no para algo depende de la aplicación que use la cookie. En general, ninguno puede decir sí o no. La aplicación puede almacenar la dirección IP del cliente en la sesión y rechazarlo si tiene una diferente. Podría usar otras cookies o encabezados http para la plausibilidad. Hay tantas posibilidades por las que podría no funcionar simplemente repetir la sesión robada.

Sin embargo, dicho esto, no dudo que haya muchas aplicaciones que simplemente toman la cookie de sesión que obtienen y las asignan a un usuario / sesión sin más comprobaciones inteligentes. Por lo tanto, los ataques a las cookies de sesión deben tomarse en serio.

Respuesta corta: Probablemente

Respuesta larga: Suponiendo que de alguna manera usted tenga acceso a la cookie no encriptada (no sé cómo va a hacer esto si estuvieran usando SSL), es muy probable que pueda hacerse pasar por el usuario del sitio. Pero tenga en cuenta que algunos sitios pueden verificar otros encabezados (incluido el agente de usuario) para asegurarse de que está usando el mismo navegador para mejorar la seguridad.