Estoy probando la aplicación ASP.NET, donde el ID de sesión (ASP.NET_SessionId) no se renueva después de iniciar sesión. En realidad, se renueva cuando uso el navegador, en el servidor de la página de inicio de sesión envía:
Set-Cookie: ASP.NET_SessionId=; expires=Sun, 25-Jun-2017
Pero si modifico la respuesta, por ejemplo, en Burp y elimino esta declaración, puedo iniciar sesión usando una cookie antigua y esta cookie no se renovará. ¿Debería renovarse esta cookie también en este caso? ¿Es posible la fijación de sesión en ASP.NET utilizando solo ASP.NET_SessionId? En .NET para iniciar sesión es necesario tener ASP.NET_SessionId, así como .ASPXAUTH?