セッションIDを盗み取り、セッションIDを使っているユーザーになりすます攻撃

盗み出すのではなく、攻撃者が発行したIDでユーザーにログインさせるセッション固定攻撃というのもある

セッションIDを盗む方法

通信の盗聴

規則性からの類推

etc...