Session Hijack

Das größte Problem, bei einer Session ist diese zu entführen, d.h. ein fremder User eignet sich bzw. übernimmt die Session eines Users.
Dies kann entweder passieren durch die Übergabe eines Links mit der angeführten SESSION-ID, oder sie wird mutwillig entführt.
Um dies zu bewerkstelligen verwendet man ein eingeschleustes JavaScript (XSS), welches die aktuellen Cookies und Sessins ausliest und an eine fremde Seite leitet.

Warum ist das so problematisch?

Durch die Übernahme des Session nimmt er generell die Identität des Users an und könnte damit einiges verändern,
bzw. könnte er Rechte bekommen, die er gar nicht haben sollte zB: Adminstrator oder Moderator