session会话劫持（挖坑）

session储存在服务器，用于身份验证。由于session有时效，会变化，因此很多时候不想cookie那样一拿到就能修改就能用，那就需要劫持会话。

如何判断是否启用session验证，审计元素或者抓包的时候，cookie那一项数据中包含 xxxSESSID就说明启用了session验证，就可以和cookie那类攻击说886了。session攻击只能劫持