Kiedy podamy skryptowi PHP nieistniejący ID sesji, zostanie on utworzony. Jak hakerzy mogą to wykorzystać ? Najprościej poprzez dodanie do adresu:
http://www.mojadomena.pl/index.php?PHPSESSID=xxxxxxxxxxxxxxxx
Następnie ten adres przysyłamy do ofiary, kiedy ta się zaloguje, my po odświeżeniu strony mamy takie same uprawnienia jak ofiara naszego ataku.
Żeby się przed tym zabezpieczyć należy w skrypcie dodać:
<?php
session_start();
if (!isset($_SESSION[‘sprawdz’])){
session_regenerate_id();
$_SESSION[‘sprawdz’] = true;
}
?>
Dzięki temu serwer sam utworzy odpowiednią sesję, nie pozwalając użytkownikowi na nadanie jej własnego identyfikatora.