Minsan tinutukoy bilang pag -hijack ng session ng TCP, ang pag -hijack ng session ay isang insidente kung saan ang isang ikatlong partido ay kumukuha ng isang sesyon ng gumagamit ng web sa pamamagitan ng pagkuha ng session key at nagpapanggap na awtorisadong gumagamit ng susi na iyon.Kapag matagumpay na sinimulan ng hijacker ang pag -hijack, maaari niyang gamitin ang alinman sa mga pribilehiyo na konektado sa ID na iyon upang magsagawa ng mga gawain, kabilang ang paggamit ng impormasyon o mga mapagkukunan na ipinapasa sa pagitan ng nagmula sa session at anumang mga kalahok.Ang pag -hijack ng ganitong uri ay maaaring madaling kapansin -pansin sa lahat ng nababahala o halos hindi malilimutan, depende sa kung ano ang mga aksyon na ginagawa ng hijacker.

Ang proseso ng pag -hijack ng session ay nakatuon sa mga protocol na ginamit upang magtatag ng isang sesyon ng gumagamit, karaniwang, ang session ID ay naka -imbak sa isang cookie o naka -embed sa isang URL at nangangailangan ng ilang uri ng pagpapatunay sa bahagi ng gumagamit upang magsimulaang session.Sa puntong ito na ang hijacker ay maaaring gumamit ng mga depekto sa seguridad ng network at makuha ang impormasyong iyon.Kapag nakilala ang ID, maaaring masubaybayan ng hijacker ang bawat pagpapalitan ng data na nagaganap sa session at gamitin ang data na iyon sa anumang paraan na nais niya.na ang hijacker ay maaaring makagambala ng impormasyon na dumadaloy papunta at mula sa awtorisadong gumagamit, alinman sa pagkopya o kahit na baguhin ito bago maipasa ito sa inilaang tatanggap.Ang ganitong uri ng pag -hijack ay nag -aalok ng karagdagang kakayahang gamitin ang session upang maghanap ng iba pang data na hindi naipasa pabalik -balik, sa pag -aakalang ang seguridad ng network ng computer ay hindi nakakakita kung ano ang lilitaw na hindi pangkaraniwang aktibidad na konektado sa awtorisadong gumagamit.Para sa kadahilanang ito, ang pag -hijack ng session ay hindi palaging tungkol sa mapanlinlang na pagkuha ng impormasyon ng pagmamay -ari;Sa mga oras, ito ay simpleng makagambala sa isang operasyon sa pamamagitan ng pagpapalit ng data at pagpapakain ng maling impormasyon sa mga mapagkukunan kung saan gagawin nito ang pinaka -pinsala.

Ang paghahanap ng mga paraan upang maiwasan ang pagsasamantala ng mga posibleng kahinaan sa proseso ng pagpapatunay ay bahagi ng proseso ng pagtatanggol laban sa pag -hijack ng session.Sa puntong iyon, maraming mga negosyo ang gumagamit ng mga layered na protocol ng seguridad na maskara ang proseso ng pagpapatunay tulad ng nangyari.Tulad ng karamihan sa mga solusyon sa seguridad, ang mga hacker ay patuloy na nakakakita ng mga paraan upang gumana sa paligid ng mga hakbang na pang -iwas, ginagawa itong kinakailangan upang patuloy na bumuo ng mga bagong proseso na humarang sa