Session IDを乗っ取ること

何らかの方法でcookieに書かれたsession tokenを手に入れれば、sessionを乗っ取れる

HTTP通信を覗く

cookieが保存されたPC上のファイルを手に入れる

Web Browserの脆弱性を利用する

セッションハイジャック対策 されていないWebアプリケーションサーバーは危険