为了详细说明这一点，我从黑客/渗透测试人员的角度来看待这个问题。很多次我都看到我知道的 Web 应用程序有弱 cookie。我可以这么说，因为我可以发出成百上千的登录请求，并且服务器响应的会话 cookie 中会有明显的模式。例如，某些会话 cookie 将在所有会话 cookie 中出现重复的字符（例如，13 个字符的会话 cookie 的前 6 个字符都相同）。其他是基于时间生成的，所以如果我同时发出一堆登录请求，服务器将使用相同的会话 cookie 响应（假设服务器基于秒/分钟生成 cookie）。

虽然这些类型的模式很容易被注意到，但我知道有些模式对我们人类来说并不那么容易看到。

所以我的两个问题：

1) 有哪些方法和工具可以确定 cookie 的强度？

2) 一旦识别出弱会话 cookie，如何分析和逆向工程会话 cookie 生成算法？（请记住，这里的最终目标是最终能够预测会话 cookie）