sessionを乗っ取ること

何らかの方法でcookieに書かれたsession tokenを手に入れれば、sessionを乗っ取れる

HTTP通信を覗く

cookieが保存されたPC上のファイルを手に入れる

ブラウザの脆弱性を利用する

セッションハイジャック対策 されていないWebアプリケーションサーバーは危険