세션 하이재킹은 세션 토큰 정보를 훔쳐서 로그인 하는 공격이다.
세션 하이재킹에는 XSS와 중간자 공격이 많이 사용된다. HTTPS를 사용하고 세션 토큰 정보를 담고 있는 쿠키는 httpOnly와 secure 속성을 부여하여 보호할 수 있다.
일부 쿠키를 사용할수 없는 환경을 위해 URL뒤에 JSESSIONID와 PHPSESSIONID 파라미터로 토큰값을 넘기는 방법을 사용했었던 환경이 있다. 그러나 이런 방법의 경우 URL을 공유하거나 할 경우 세션 정보도 함께 탈취 당할 수 있다. 매번 세션ID를 변경하지 않고 고정된 세션을 사용하는 경우 발생되는 보안 문제다.