1 artigo com esta tag
Session fixation faz a vítima usar um ID de sessão conhecido pelo invasor e então se passa por ela depois que ela loga com esse ID. A defesa real: regenerar o ID de sessão no login (e na mudança de privilégio). Não aceite IDs da URL e reforce os cookies com HttpOnly/Secure/SameSite.