Dwie wskazówki do tematu z session fixation (Poćwicz sobie Session Fixation).
W trakcie testów często problemem jest to, że do końca nie wiadomo jakie parametry przyjmuje dany punkt wejścia. Czasami może się okazać, że dopisanie jakiegoś parametru spowoduje nieco inne zachowanie aplikacji. Jak powinien nazywać się parametr? Cóż, można próbować zgadnąć. Można też sprawdzić nazwy parametrów, które występują na danej formatce, na przykład jako pola hidden. Warto pamiętać, że parametr może być przekazany metodą POST lub GET, aplikacja nie zawsze te metody traktuje równorzędnie.
Druga wskazówka: Same-origin policy for cookies.
