¿Qué tipo de vulnerabilidad es esta?

Lo que usted describe no es en sí mismo una vulnerabilidad. Sin embargo, si el inicio de sesión no sobrescribe completamente la información de la sesión del lado del cliente (por ejemplo, cookies u otro almacenamiento persistente), o si los elementos de la sesión están vinculados a la dirección IP del cliente, existe la posibilidad de un aumento de privilegios o ataque de secuestro de sesión.

Generalmente informo a mis clientes sobre el "problema" de inicio de sesión múltiple, especialmente cuando no hay información de último inicio de sesión disponible. ¿Es una vulnerabilidad? Personalmente, no creo que lo sea, podría ser una característica en la que un cliente a veces requiere que se inicie sesión varias veces (debido a un desarrollo de aplicaciones deficiente, por ejemplo). Llamo a este hallazgo "El inicio de sesión simultáneo está habilitado" o "El inicio de sesión múltiple está habilitado".

Cuando Acunetix descubra cualquier forma de inyección de SQL, el siguiente paso es verificarlo.

Dependiendo del tipo de inyección SQL, generalmente lo hago a mano. A menos que sea ciego basado en tiempo, uso sqlmap .

En caso de una inyección de sql sql, recomendaría realizar una acción como el siguiente ejemplo:

? id = 23 y 1 = 1 < - que es una declaración verdadera y debería ver lo que se muestra cuando se solicita normalmente la id 23.

? id = 23 y 1 = 2 < - que es falso, a veces devuelve una pantalla en blanco.

Si esto no funciona, intente usar sqlmap.