Popis:Tato hrozba je často označována také výrazem Session Hijacking, nebo v češtině výrazem Únos sezení. Útok je založen na zjištění identifikátoru relace (Session ID) jiného uživatele, a použití tohoto identifikátoru ze strany útočníka.
Vzhledem k tomu, že webové servery autentizují uživatele po jejich přihlášení právě tímto identifikátorem, bude aplikace útočníka, který přistupuje s cizím platným identifikátorem, považovat právě za uživatele, kterému tento identifikátor náleží.
Obrana proti únosům sezení musí být založena na svázání relace s IP adresou, obsahem HTTP hlavičky User-Agent, případně s dalšími informacemi, které jednoznačně identifikují uživatele, jenž se k aplikaci legitimně přihlásil.
