Przechwytywanie sesji
Z Wikipedii
Przechwytywanie sesji odnosi się do prób przejęcia poprawnej sesji (klucza sesji), aby uzyskać nieautoryzowany dostęp do usług bądź informacji systemu komputerowego. Zwykle odnosi się do nieuprawnionego wejścia w posiadanie klucza sesji, wykorzystywanego do identyfikacji użytkownika podczas jego wizyty w witrynie internetowej. Jest to istotne zagadnienie przy konstruowaniu stron internetowych, gdyż ciasteczka wykorzystywane do utrzymywania sesji mogą być bardzo łatwo ukradzione, na przykład poprzez wykorzystanie technik XSS.
Wiele stron internetowych umożliwia użytkownikom tworzenie kont internetowych i zarządzanie nimi. Ze względu na bezstanowość protokołu HTTP, niezbędny jest sposób na każdorazowe przekazywanie informacji o "byciu zalogowanym", tak aby nie trzeba było podawać hasła za każdym razem. Problem ten można rozwiązać przez rozpoczęcie sesji. Dane sesji mogą być przechowywane po stronie serwera, jednak pewnego rodzaju identyfikator sesji, czyli identyfikator "bycia zalogowanym", musi być przekazywany do serwera (wysyłany zwykle poza świadomością użytkownika poprzez ciasteczka, bądź metodę GET lub POST). Przechwycenie takiego identyfikatora (klucza sesji), umożliwia osobie postronnej dostęp do danej strony, tak, jakby przeglądał ją pełnoprawny użytkownik.
