Hey guys!
セキュリティレベルを『High』に設定。
これまでと同様に『Generate』ボタンを連打。
セッションIDを確認すると規則性も見当たらず、それっぽい。
Burp Suiteは、セッションIDのランダム性は優れているとの結果を出している。
各セッションIDを複合してみると、単純な数値だった。
ツールの結果を100%信じてはいけないという教訓。
ソースコードを見るとセッションIDがインクリメントされて、MD5に変換されていた。
Best regards,