弱いセッションCookieの識別、分析、および予測

これについて詳しく説明するために、私はこれをハッカー/侵入テスターの観点から見ています。弱いCookieを使用していることがわかっているWebアプリケーションを何度も目にしました。何百、何千ものログイン要求を発行でき、サーバーが応答するセッションCookieには顕著なパターンがあるため、これを知ることができます。たとえば、一部のセッションCookieでは、すべてのセッションCookieに文字が繰り返されます（たとえば、13文字のセッションCookieの最初の6文字はすべて同じです）。その他は時間に基づいて生成されるので、大量のログイン要求を同時に発行すると、サーバーは同じセッションCookieで応答します（サーバーが秒/分に基づいてCookieを生成すると想定）。

これらの種類のパターンは簡単に目立ちますが、人間にとってはそれほど簡単ではないパターンもいくつかあります。

だから私の2つの質問：

1）Cookieの強度を判断する方法とツールはありますか？

2）弱いセッションCookieが特定されたら、セッションCookie生成アルゴリズムを分析およびリバースエンジニアリングするにはどうすればよいでしょうか。 （ここでの最終目標は、最終的にセッションCookieを予測できるようになることです）