He estado leyendo sobre la fijación/secuestro de sesión recientemente, y entiendo la teoría.Secuestro de sesiones en la práctica
Lo que no entiendo es cómo esto sería explotado en la práctica. ¿Tendría que manipular su navegador para hacer uso de las cookies robadas? ¿Agregarlo a la URL y pasarlo a la aplicación web?
¿O escribirías algún tipo de script personalizado para hacer uso de esto y, de ser así, qué haría?
No estoy tratando de pedir ayuda con esto o ejemplos, pero estoy tratando de aprender más y entender. Cualquier ayuda es apreciada.
"Imposible con SSL" con una clave suficientemente larga (realmente secreta). También podría hacer algo con la falla de inyección de texto sin formato durante la renegociación. –
+1 por "transfiero todos sus fondos a mi cuenta secreta en Suiza y compro un bote ridículamente grande": D – Wolfer