使用者在登入後，會新增一個session
用來保存使用者的狀態和相關的訊息，作為標示使用者
我們會帶著session來做訪問
而session ID則做為特定使用者訪問站點時所需要的內容

也就是說
如果能取得session ID則可以取得該使用者的訪問權限
不須登入就能進入該使用者的介面進行操作

可以被預測的設置session，則為脆弱生成方法
脆弱的session ID是很容易被利用的

可以發現再每一次的點擊，結果dvwasession都會再增加1。

我們可用Burp的Sequencer收集一定數量的token來進行隨機性分析。
Sequencer 通常建議樣本數量至少為5000個token，
若無法通過測試，表示生成的結果為非隨機

Session劫持（Session hijacking）: 通過獲得使用者SessionID，使用該SessionID登錄進目標賬號。

可能被劫持的攻擊方式：

• Cross-site scripting (XSS)
  • 利用JS注入網頁，頁面執行任意代碼，來劫持Session
• Session fixation
  • 由攻擊者提供一個合法的session ID，讓受害者的瀏覽器使用
• 會話端劫持
  • 透過監控網路流量並攔截進行驗證的cookie，通常用於不安全的連線