Ponekad se naziva otmica TCP sesije, otmica sesije je incident u kojem treća strana preuzima sesiju web korisnika dobivanjem ključa sesije i pretvarajući se da je ovlašteni korisnik tog ključa. Nakon što otmičar uspješno započne otmicu, on ili ona može koristiti bilo koju od privilegija povezanih s tim ID-om za obavljanje zadataka, uključujući korištenje informacija ili resursa koji se prosljeđuju između pokretača sesije i svih sudionika. Otmica ove vrste može biti lako uočljiva za sve zainteresirane ili praktički nevidljiva, ovisno o tome koje radnje otmičar poduzima.
Proces otmice sesije fokusira se na protokole koji se koriste za uspostavljanje korisničke sesije. Obično je ID sesije pohranjen u kolačić ili je ugrađen u URL i zahtijeva neku vrstu provjere autentičnosti od strane korisnika kako bi pokrenuo sesiju . U tom trenutku otmičar ponekad može iskoristiti nedostatke u sigurnosti mreže i uhvatiti te informacije. Nakon što je ID identificiran, otmičar može pratiti svaku razmjenu podataka koja se odvija tijekom sesije i koristiti te podatke na bilo koji način koji želi.
Otmica sesije donekle je poput napada čovjeka u sredini, po tome što otmičar može presresti informacije koje teku do i od ovlaštenog korisnika, kopirajući ih ili čak mijenjajući ih prije nego što ih proslijede željenom primatelju. Ova vrsta otmice nudi dodatnu mogućnost korištenja sesije za traženje drugih podataka koji se ne prosljeđuju naprijed-natrag, pod pretpostavkom da sigurnost računalne mreže ne otkrije ono što se čini kao neuobičajena aktivnost povezana s ovlaštenim korisnikom. Iz tog razloga, otmica sesije nije uvijek vezana uz prijevarno dobivanje vlasničkih informacija; ponekad je jednostavno poremetiti operaciju mijenjanjem podataka i slanjem lažnih informacija izvorima gdje će to učiniti najviše štete.
Pronalaženje načina da se izbjegne iskorištavanje mogućih slabosti u procesu provjere autentičnosti dio je procesa obrane od otmice sesije. U tu svrhu mnoge tvrtke koriste slojevite sigurnosne protokole koji maskiraju proces provjere autentičnosti dok se događa. Kao i kod većine sigurnosnih rješenja, hakeri neprestano otkrivaju načine kako zaobići te preventivne mjere, zbog čega je potrebno stalno razvijati nove procese koji blokiraju otmičare prije nego što imaju priliku ukrasti ili promijeniti podatke kao dio korporativne špijunažne operacije.