Угон сессии

Session Hijacking: кража действительного идентификатора сессии (cookie) для захвата чужой сессии; защита: флаги Secure/HttpOnly, токены, timeout сессий, привязка сессии к IP/агенту.