1 статья с этим тегом
Фиксация сессии заставляет жертву использовать известный атакующему ID сессии, а затем выдаёт себя за неё после её входа с этим ID. Реальная защита: регенерировать ID сессии при входе (и при смене привилегий). Не принимайте ID из URL и укрепляйте cookie флагами HttpOnly/Secure/SameSite.