Ker pogosto vsebujejo informacije o seji uporabnika, lahko napadalec to izkoristi, in »ugrabi« sejo (session hijack), npr. po tem, ko smo se z geslom ali celo certifikatom prijavili v spletno trgovino ali banko.... Kraja piškotkov je mogoča že s preprostim vstavljanjem ukaza »document.cookie« v naslov URL ali ukaz POST. Navedimo primer spletne strani restaurant.com, ki s pomočjo piškotkov vodi evidenco kupcev.