Krádež session

Uživateli je při prvním přístupu do aplikace vytvořeno sezení a je přidělena jeho identifikace pomocí cookie nebo pomocí předávání v URL. Mechanizmus sezení je možné zneužít. Stačí získat identifikátor sezení a následně můžeme předstírat korektně přihlášeného uživatele.Proto je nutné identifikátory sezení generovat opravdu náhodně (s rovnoměrným rozložením) a ještě lépe kontrolovat i IP adresu uživatele.