Az úgynevezett session hijacking támadás arról szól, hogy egy támadó valamilyen úton módon megszerzi egy másik felhasználó munkament azonosítóját. Mivel alapesetben a szerver vakon megbízik ebben az azonosítóban, ezért ha a támadó ezzel az azonosítóval egy kérést indít a szerver felé, akkor a szerver azt fogja hinni, hogy a megtámadott felhasználó az, megszemélyesítve azt.