Sé que es posible usar una herramienta como Burp para probar Cookie / post / obtener valores, pero es posible usar dicha herramienta para realizar un ataque de fuerza bruta / diccionario (prueba difusa) en los valores después del símbolo #.
Sé que los valores después del # en una URL no se envían al servidor. Solo son interpretados por el navegador. Esto hace que sea más difícil usar herramientas como Burp.