一般網站登入會利用session id 判斷使用者的身分，如果session id 被其他人獲得，那其他人就可以使用這個id登入網站獲取資料。

Session 攻擊手法有三種：

1. 猜測 Session ID (Session Prediction)
2. 竊取 Session ID (Session Hijacking)
3. 固定 Session ID (Session Fixation)

不只要防護以上的攻擊，還要做其他的判斷去確認使用者的身分，如IP位址、瀏覽器User-Agent等，使用者其他特有的辨識資訊。