Primero, lea ataques de fijación de sesión y asegúrese de comprender cómo funcionan. No nos proporcionó la información necesaria para determinar si funcionarán los ataques de fijación de sesión estándar; toda esa información es relevante para otros ataques, pero no para la fijación de la sesión.
La característica fundamental de un ataque de fijación de sesión es que el atacante logra inscribir a la víctima en una sesión que fue previamente establecida por el atacante . Después de esto, el atacante tiene el control de una sesión que ahora también está siendo utilizada por la víctima, lo que puede permitir que el atacante haga todo tipo de cosas malas.
La condición previa principal para que sea posible un ataque de fijación de sesión es el atacante debe poder forzar a la víctima a comenzar a usar un ID de sesión de la elección del atacante . En algunos sitios web, esto es posible si el atacante puede hacer que la víctima visite un enlace como http://yoursite.com/?SID=1209023
, porque el sitio web asignará automáticamente el ID de sesión de la víctima 1209023 para la futura navegación de la víctima en el sitio. En otros sitios web, esto no es posible porque el sitio web no funciona de esa manera.
Entonces, no nos ha proporcionado suficiente información para saber si los ataques de fijación de sesión funcionarán, porque no nos ha proporcionado suficiente información para determinar si se cumple la condición previa.
Dicho esto, es casi seguro que el sitio tiene problemas de seguridad. Es vulnerable a las escuchas ilegales (ataques tipo Firesheep) y es probable que sea vulnerable al inicio de sesión CSRF.