潜在的なASP.NET Webアプリのセッション修正の脆弱性の悪用

Session Fixationの動作を示すASP.NETアプリケーションをペンテストしています。アプリケーションはcookieベースのセッションを使用しています。基本的に：

1. ページにアクセスしても、セッションCookieは作成されません
2. ログイン後、ASP.NET_SessionId Cookieが作成されます
3. ログアウト時と繰り返しログイン時のCookie値は同じままです（Cookie値の再生成はありません）

セッション固定攻撃を実行できました手動：

1. ページに着陸しました
2. 私は手動でASP.NET_SessionId Cookieを作成しました（攻撃者向け）
3. 新しいブラウザセッションを開いて、まったく同じCookieを設定しました（被害者向け）
4. この新しいブラウザセッションで被害者としてログインしました
5. 攻撃者のブラウザセッションで、被害者としてWebサイトを閲覧できるようになりました

現在、このSession Fixationの脆弱性を実際の状況で利用することに問題があります。何らかの方法でASP.NET_SessionId Cookieを作成または変更する必要があります。私が知ることができることから、私が使用できるWebサイトにはXSSの脆弱性はありません。

私は2つの最も注目すべき攻撃のバリエーションで遊んでいましたが、運がありませんでした（被害者がWebページにCookieを設定するリンクをクリックした場合）：

• JavaScript

https://www.example.com/<script>document.cookie='ASP.NET_SessionId=THISISAFIXATEDCOOKIE; expires=Thu, 18 Dec 2015 12:00:00 UTC; path=/; domain=example.com; path=/'</script>

• HTMLインジェクション

https://www.example.com/<meta http-equiv=Set-Cookie content="ASP.NET_SessionId=THISISAFIXATEDCOOKIE; expires=Thu, 18 Dec 2015 12:00:00 UTC; path=/; domain=example.com; path=/">

何を試しても、デフォルトのエラーページか、作成/変更されたCookieのないランディングページにアクセスしました。

これら2つの攻撃ベクトルで何か不足していますか？

man-in-the-middleまたはman-inを使用する以外に、被害者のASP.NET_SessionId Cookieを作成または変更できる他の方法はありますか？ -the-browser（マルウェアベース）攻撃？