Чтобы стырить сессию... То нужно, чтобы у того, у кого иы хочешь её увести в настройках безопасности была снята галочка с "Использовать cookie для авторизации", а лучше что-бы вообще ни одной галки там не было... Потом просто отправляешь письмо со ссылкой на сниффер и при нажатии на эту ссылку пользопатель попадает на сниффер конечно-же... А потом в логе сниффера смотришь реферрера (ссылку, с которой пришли на сниффер) и сам проходьшь по ней... В настройках безопасности жертвы ни в коем случае не должна стоять галочка возле "Сессия только с одного IP-адреса"... Хотя может эту багу уже прикрыли... Попробовай потестить )))