Как работает данный вид атак:

Сервер может опознать конкретного пользователя по уникальному идентификатору сессии. Это позволяет клиентам проходить поцедуру авторизации всего 1 раз, а затем уже обращаться к приложению как авторизированное лицо. В некоторых приложениях идентификатор сессии передаётся в ссылках, в качестве одного из параметров GET-запроса. Здесь и начинаются главные проблемы.

Атакующий может послать жертве гипер-ссылку содеращую в себе любой идентификатор сессии. Это может быть сделано, например, через почтовое сообщение, которое выглядит как обращение администрации сайта. Когда жертва, кликнув по ней, попадёт на сайт и пройдёт авторизацию, то идентификатор сессии, выбранный злоумышленником, станет идентификатором авторизованного пользователя-жертвы. Атакующий может пройти по любой ссылке передав серверу этот же идентификатор, и сможет действовать от чужого имени.