Есть такая узявимость как HTTP Only Cookie Disclosure. Я её ещё называю Cookie Bomb.

Работает так:

1) Необходимо установить специальную cookie, название которой располагается ниже cookie, которую необходимо скомпрометировать, при условии упорядочивания их в алфавитном порядке.

2) Специальная cookie должна состоять из более чем 10000 символов для вызова уязвимости в версии Apache