Предотвращения фиксации сессии в Java

Мы не используем сеансы в процессе аутентификации.... Мне интересно когда мы не используем сеанс

Это не имеет значения. Я предполагаю, что вы используете управление сеансами для вашего сервера.Этот отчет об ошибке указывает на то, что вы не проверяете строку запроса для идентификаторов сеанса.
Проверьте здесь некоторые примеры того, как вы можете быть атакованы: фиксация сеанса

Обновление:
Я подозревал, что вы не использовали стандартный контейнер.Я не могу скажу вам, что вы на самом деле должны сделать, так как вы не поставили никакого кода, но из вашего описания и того факта, что вы получили отчет о такой находке, проблема заключается в том, что вы разрешаете переписывать URL, и злоумышленник может использовать его для "кражи" сеанса, передавая известный идентификатор сеанса.
В общем, то, что вы должны сделать, это после того, как пользователь вошел в систему, а затем аннулировать текущую сессию и создать новую на spot.As в результате уже "украденный" id не может быть использован повторно.

И поскольку информация, которую вы предоставляете в сообщении, настолько мала, вам следует потратить некоторое время на изучение некоторых из следующих элементов, чтобы определить ту часть вашего кода, которая находится в проблеме:
ОВАСП 1
ОВАСП 2
ОВАСП 3
Java Secure session SO
и жерех тоже
Интересная статья по фиксации сессии
некоторые утилиты HTTP от OWASP, которые вы, возможно, могли бы использовать
фиксация сессии на Java
Безопасный сеанс Управление