(1)通过任何可行的办法获得一个有效令牌。
(2)访问登录表单并使用这个令牌登录。
(3)如果登录成功,而且应用程序并不发布新令牌,则表示它易于受到会话固定攻击。
如果一个应用程序并不支持验证,但允许用户提交并审查敏感信息,那么应该确认用户在提交敏感信息前后是否使用相同的会话令牌。如果令牌没有发生变化,则攻击者就可以获得令牌,并将其传送给目标用户。用户提交敏感信息后,攻击者就可以使用该令牌查看这名用户的信息。