概念

会话劫持（Session hijacking）是一种通过获取用户Session ID后，使用该Session ID登录目标账号的攻击方法，此时攻击者实际上是使用了目标账户的有效Session。会话劫持的第一步是取得一个合法的会话标识来伪装成合法用户。

注：Session ID一般都设置在cookie

步骤

          目标用户需要先登录站点           登录成功后，该用户会得到站点提供的一个会话标识SessionID           攻击者通过某种攻击手段捕获Session ID           攻击者通过捕获到的Session ID访问站点即可获得目标用户合法会话

原理图

获取cookie

了解cookie接口：找到Session ID位置进行破解        暴力破解：尝试各种Session ID&#