Session Fixation macht sich den Umstand zu Nutze, dass bei einer erfolgreichen Authentisierung kein Austausch des Session Tokens erfolgt. Ein Angreifer erstellt bei dieser Angriffsart ein gültiges Session Token und übergibt dieses mithilfe von einem Link an das Opfer. Sobald sich das Opfer nun mit dem Session Token anmeldet, kann der Angreifer die Session übernehmen. Dies ist eine Form des Session Hijacking.