Proces zarządzania sesją obejmuje w szerokim zakresie wszystkie mechanizmy kontrolne użytkownika od uwierzytelnienia do opuszczenie aplikacji. HTTP jest protokołem bezstanowym, co oznacza, że serwery WWW odpowiada na żądania klienta bez ustanawiania ciągłego połączenia z nim. Z tego względu nawet prosta aplikacja wymaga wysłania przez użytkownika wielu żądań, zanim zostanie powiązana z nim sesja. Najczęściej odbywa się to poprzez odpowiedni token identyfikacyjny, określany jako identyfikator sesji lub plik cookie. Należy zbadać w jaki sposób aplikacja zarządza sesją oraz, czy istnieje możliwość zaburzenia tego procesu. Na obrazie poniżej widoczne jest żądanie typu POST do serwera aplikacyjnego służący do autentykacji użytkownika.
![żądanie typu POST do serwera aplikacyjnego służący do autentykacji użytkownika](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_661,h_509/https://my127001.pl/wp-content/uploads/2019/01/logowanie.png)
Na kolejnym rysunku widoczna jest odpowiedź serwera, który ustawia dla użytkownika token ASPXUSERWU służący jako identyfikator sesji.
![odpowiedź serwera, który ustawia dla użytkownika token ASPXUSERWU służący jako identyfikator sesji](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_661,h_529/https://my127001.pl/wp-content/uploads/2019/01/odpowiedzlogowanie.png)
Każde kolejne żądanie do serwera wysyłane jest wraz z wcześniej ustalonym tokenem sesyjnym tak jak widoczne jest to na grafice poniżej.
![żądanie do serwera wysyłane jest wraz z wcześniej ustalonym tokenem sesyjnym](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_657,h_357/https://my127001.pl/wp-content/uploads/2019/01/sesja.png)