L'attacco di scambio di cookie è un modo per aggirare il requisito che un utente attualmente connesso (Alice) deve fornire la sua password corrente prima di passare a una nuova password.
Se rubo un cookie di sessione, ma non conosco la password, non posso resettare la password e il mio accesso è limitato a questa singola sessione finché l'utente non si disconnette e invalida il coookie.
Se il sito è vulnerabile a uno scambio di cookie, un utente malintenzionato lo sfrutterà creando il proprio account (Eve) e andando alla pagina per reimpostare la propria password. Eve digita la sua password conosciuta e viene reindirizzato a una pagina che le chiede di inserire una nuova password.
A questo punto lei scambia il suo cookie con il cookie di Alice. Ora il server riceve una richiesta con una chiave valida nell'URL o POST che indica che si tratta di una richiesta di modifica della password valida, ma il cookie inviato con quella richiesta era di Alice.
Così imposti la password di Alice a qualunque cosa Eve voglia.