Перехват сессии (Session Hijacking)

Кража идентификатора сессии позволяет атакующему выдать себя за пользователя.

СигнатураSession Hijacking

Перехват сессии — это получение чужого session ID (через XSS, перехват незашифрованного трафика или другие каналы) и использование его для входа без пароля.

Как защититься: передавайте куки только по HTTPS (флаг Secure), закройте доступ из JS флагом HttpOnly, ставьте SameSite, привязывайте сессию к признакам клиента и регулярно ротируйте идентификатор.

# Безопасная установка cookie сессии
response.set_cookie(
    "session_id", value=token,
    secure=True,       # только по HTTPS
    httponly=True,     # недоступна из JavaScript
    samesite="Lax",   # защита от CSRF
)

← Все записи: Веб-уязвимости и защита