Pero entonces no hay cookie que secuestrar. Index.php no genera ninguna cookie, ni se administra usuarios, al usar cookie.php meterá un valor en blanco.

Buenas. Tengo una duda con el taller, que por cierto me parece que está genial. Para robar la cookie se usa la página vulnerable message.php que es bastante más compleja que la que se propone para crear comentarios (index.php). ¿Está el código de esa página message.php accesible en algún lugar? Supongo que habrá una gestión de usuarios y creación de la cookie a robar.

Gracias y muy buen trabajo!