Фиксация сессии (Session Fixation)

Фиксация сессии — атакующий заранее задаёт жертве известный session ID, а после того как жертва входит под своими данными, использует тот же идентификатор для доступа к её аккаунту.

Как защититься: всегда генерируйте новый идентификатор сессии после успешной аутентификации, не принимайте session ID из URL, инвалидируйте старую сессию при логине.

def login(user, pwd):
    if not check_password(user, pwd):
        return False
    # Критично: пересоздать сессию после входа
    session.regenerate_id()
    session["user"] = user
    return True