Один из... как вариантов... встречались такие сайты, где сессии хранятся ввиде файлов, т.е при расшариных директориях(кривых настройках сервака), я мог прочесть сессию где хранился пасс или хэшь пасса, второй момент, опять же из-за кривизны настроек, встречал серваки хранящие сессии в /tmp, где также при чтении сессии можно было выявить пасс.