La vulnerabilidad de «Identificador de Sesión Débil» en DVWA expone cómo una aplicación web puede generar números de sesión para los usuarios de manera insegura y predecible. Cuando te identificas en una web, el servidor te asigna un ID único (como un carné digital) para reconocerte en cada página. El problema crítico ocurre cuando ese ID no es aleatorio ni secreto.
En esta vulnerabilidad, DVWA deliberadamente genera IDs de sesión usando métodos débiles, como simplemente tomar la hora actual del servidor o incrementar números secuencialmente (123, 124, 125…). Esto es peligroso porque un atacante, al ver su propio ID de sesión, puede fácilmente deducir o calcular el ID de otros usuarios. Por ejemplo, si tu ID es session_1550 y está basado en un contador, probar session_1551 podría darte acceso a otra sesión activa.
El riesgo principal es el secuestro de sesión: un atacante adivina o predice un ID válido y toma control de la sesión de la víctima sin necesidad de su contraseña, pudiendo acceder a sus datos y privilegios. La solución correcta para los desarrolladores es usar generadores criptográficamente seguros que creen identificadores largos, complejos y realmente imposibles de predecir.