no, en vez de iniciar una nueva sesión, utiliza ya que la se abrió.
De todas maneras el problema es que no se puede alterar el valor de SID via GET/POST para así poder predefinirlo nosotros.
Si puedes averiguar el sesid de una sesion "actual" tuya, puede que se pueda
1 cierra la sesion al usuario (destruye su sesion)
2 inicia la sesion al usuario con tu cuenta (si se protege con CSRF no vas a poder =/)
2.5 obten el id de esa sesion (en google y live.com se puede xD tendras que investigar en la web de tu victima)
3 obliga al usuario a iniciar sesion (sin destruir la sesion existente)
4 reusa la sesion del punto #2 y estas con su sesion
Saludos!!
Autor
En línea
.
