Popis:Zranitelnost Cross-Subdomain Cooking může útočník s úspěchem využít na webhostingu, který svým klientům nabízí subdomény třetího řádu. Útočník totiž může prostřednictvím své webové stránky nastavit oběti cookies s platností pro celou doménu druhého řádu.
Pokud se útočníkova webová stránka nachází na subdoméně attacker.example.cz a subdoména oběti na doméně victim.example.cz trpí zranitelností Session Fixation, může být tato snadno zneužitelná, neboť útočník dokáže prostřednictvím své stránky nastavit oběti hodnotu cookie s platností i na doméně victim.example.cz.
Obranou aplikace proti útokům tohoto typu je její správné ošetření proti Session Fixation vygenerováním nového ID relace po přihlášení uživatele a použití oddělených úložišť pro sessions na straně serveru, včetně nastavení vhodných přístupových práv k těmto úložištím.
