一般網站登入會利用session id 判斷使用者的身分,如果session id 被其他人獲得,那其他人就可以使用這個id登入網站獲取資料。
Session 攻擊手法有三種:
1. 猜測 Session ID (Session Prediction)
2. 竊取 Session ID (Session Hijacking)
3. 固定 Session ID (Session Fixation)
不只要防護以上的攻擊,還要做其他的判斷去確認使用者的身分,如IP位址、瀏覽器User-Agent等,使用者其他特有的辨識資訊。