- Session ID abfangen
- Vorhersage - unwahrscheinlich
- Abfangen - nicht trivial, falls kein XSS
- Fixation - oft verblüffend einfach: index.php?PHPSESSID=1234 -> session_regenerate_id()
- Hijacking - Sessionraub
GET / HTTP/1.1
Host: example.org
User-Agent: Firefox/1.0
Accept: text/html, image/png, image/jpeg, image/gif, */*
Cookie: PHPSESSID=1234