https://ja.wikipedia.org/wiki/%E3%82%BB%E3%83%83%E3%82%B7%E3%83%A7%E3%83%B3%E3%83%8F%E3%82%A4%E3%82%B8%E3%83%A3%E3%83%83%E3%82%AF
セッションIDの推測: セッションIDが連番になっている場合など。
セッションIDの盗難: クロスサイトスクリプティングで流出させる、http通信でURLにセッションIDを含む場合の盗聴など。
セッションID固定化攻撃: セッションIDを攻撃者が指定したものに書き換えることで、攻撃者が知っているIDで無理やり通信させる。(ログイン前後で同じにセッションIDを使っていると、これでログイン後のセッションを乗っ取られる)