Proces zarządzania sesją obejmuje w szerokim zakresie wszystkie mechanizmy kontrolne użytkownika od uwierzytelnienia do opuszczenie aplikacji. HTTP jest protokołem bezstanowym, co oznacza, że serwery WWW odpowiada na żądania klienta bez ustanawiania ciągłego połączenia z nim. Z tego względu nawet prosta aplikacja wymaga wysłania przez użytkownika wielu żądań, zanim zostanie powiązana z nim sesja. Najczęściej odbywa się to poprzez odpowiedni token identyfikacyjny, określany jako identyfikator sesji lub plik cookie. Należy zbadać w jaki sposób aplikacja zarządza sesją oraz, czy istnieje możliwość zaburzenia tego procesu. Na obrazie poniżej widoczne jest żądanie typu POST do serwera aplikacyjnego służący do autentykacji użytkownika.
Na kolejnym rysunku widoczna jest odpowiedź serwera, który ustawia dla użytkownika token ASPXUSERWU służący jako identyfikator sesji.
Każde kolejne żądanie do serwera wysyłane jest wraz z wcześniej ustalonym tokenem sesyjnym tak jak widoczne jest to na grafice poniżej.
