Обычно перехват сеанса относится к понятию, что индивидуум пытается получить доступ к сеансу другого, обычно посредством замены данных на стороне клиента.
Например, человек X заполняет форму авторизации на twitter.com. Twitter.com отправляет человеку X печенье. Человек Y отслеживает пакет и вручную вставляет этот файл cookie в свой браузер и заходит на twitter.com, чтобы узнать, что они вошли в систему. Это перехват сеанса.
Затем происходит фиксация сеанса, где я даю вам ссылку http://www.blah.com/?phpsessid=1234, а затем молюсь, чтобы вы пошли туда и авторизовались, не заметив PHPsessid в URL. Если вы это сделаете, и если сайт не будет повторно генерировать идентификатор сеанса (как это всегда должно происходить при изменении состояния разрешений), то хакер теперь может посетить blah.com/?phpsessid=1234, и они будут зарегистрированы как вы. Таким образом, им не нужно было отслеживать идентификатор сеанса, потому что именно они дали его вам.
Вот отличный сайт с информацией о предотвращении перехвата основных сессий PHP, который, как я полагаю, может стать примером для ваших исследований.
http://phpsec.org/projects/guide/4.html