ログイン中であることを示すセッションID(多くはCookie)を盗み取り、攻撃者がそのまま本人としてアクセスする攻撃です。
パスワードを知らなくても本人になりすまされ、操作や情報閲覧をされます。
CookieにHttpOnly/Secure/SameSiteを付け、HTTPSで通信し、ログイン時にセッションIDを再発行しているかを確認します。
URLを入れるだけ。登録不要で、外から見える弱点をその場でスコア表示します。