Langsung ke konten utama

Session Hijacking



Session Hijacking Merupakan aksi pengambilan kendali session milik user lain setelah sebelumnya “pembajak” berhasil memperoleh autentifikasi ID session yang biasanya tersimpan dalam cookies. Session hijacking menggunakan metode captured, brute forced atau reserve enggineered guna memperoleh ID session, yang untuk selanjutnya memegang kendali atas session yang dimiliki oleh user lain tersebut selama session berlangsung.
HTTP merupakan protokol yang stateless, sehingga perancang aplikasi mengembangkan suatu cara untuk menelusuri suatu state diantara user-user yang koneksi secara multiple. Aplikasi menggunakan session untuk menyimpan parameter-parameter yang relevan terhadap user. Session akan terus ada pada server selama user masih aktif / terkoneksi. Session akan otomatis dihapus jika user logout atau melampaui batas waktu koneksi. Karena sifatnya ini, session dapat dimanfaatkan oleh seorang hacker untuk melakukan session hijacking.
Istilah sesi pembajakan (session hijacking) umumnya digunakan untuk menggambarkan proses sebuah koneksi TCP yang diambil alih oleh sebuah rangkaian serangan yang sudah dapat diprediksi sebelumnya. Pada serangan seperti itu, penyerang memperoleh kendali melalui koneksi TCP yang sudah ada. Bila diterapkan pada keamanan aplikasi web, session hijacking mengacu pada pengambilalihan sebuah session aplikasi web.
Aspek-aspek ketidakamanan (serangan) yang sering terjadi antara lain :
1.      Interruption
Suatu asset yang ada pada suatu sistem diserang sehingga menjadi tidak tersedia atau tidak dapat dipakai oleh yang berwenang. Contohnya adalah perusakan/modifikasi terhadap piranti keras atau saluran jaringan.
2.      Interception
Suatu pihak yang tidak berwenang mendapatkan akses pada suatu aset. Pihak yang dimaksud bisa berupa orang, program, atau sistem yang lain. Contohnya adalah penyadapan terhadap data dalam suatu jaringan.
3.      Modification
Suatu pihak yang tidak berwenang dapat melakukan perubahan terhadap suatu aset. Contohnya adalah perubahan nilai pada file data, modifikasi program sehingga berjalan dengan tidak semestinya, dan modifikasi pesan yang sedang ditransmisikan dalam jaringan.

Istilah sesi pembajakan (session hijacking) umumnya digunakan untuk menggambarkan proses sebuah koneksi TCP yang diambil alih oleh sebuah rangkaian serangan yang sudah dapat diprediksi sebelumnya. Pada serangan seperti itu, penyerang memperoleh kendali melalui koneksi TCP yang sudah ada. Bila diterapkan pada keamanan aplikasi web, session hijacking mengacu pada pengambilalihan sebuah session aplikasi web.
Dibuatkan sebuah ilustrasi berikut ini untuk mengetahui bagaimana session hijacking dapat dilakukan, sehingga sejauh mana kelemahan dari situs web yang kita gunakan untuk melakukan komunikasi atau bertukar data. Pada waktu itu Fauziah berkenalan dengan Akbar melalui media internet yaitu aplikasi chatting online. Keduanya saling bertukar informasi mengenai proses bisnis yang mereka jalankan selama ini. Melalui email, Akbar ingin mengajak Fauziah untuk melakukan pertemuan secara langsung untuk membahas semua rencana bisnis yang akan mereka jalankan, akhirnya tiba waktunya mereka bertemu, tapi pada kenyataannya Akbar tidak muncul, nah Fauziah berpendapat apakah chatting online dan e-mail yang dia kirim tidak pernah sampai atau telah dilakukan session hijacking oleh orang yang tidak bertanggung jawab? Ternyata e-mail Fauziah telah dilakukan pembajakan oleh orang yang tidak bertanggung jawab dengan cara membukanya melalui layanan eWebMail yang menggunakan java servlet. Langkah yang dilakukan adalah menuju ke halaman cookie pal.
Cookie Pal adalah aplikasi shareware yang tersedia pada http://www.kbura.net/. Digunakan untuk memonitor dan mengontrol cookie yang dikirim oleh situs web pada suatu browser. Pada kotak pop-up itu terlihat bahwa eWebMail mengirimkan cookie string yang panjang, dengan nama “uid” . Nilai “uid” sepertinya di-encode dalam heksadesimal. Cookie ini menarik untuk disimak, mengingat bahwa seringkali aplikasi web menggunakan cookie untuk melewatkan session identifier selama berinteraksi dengan web. Mungkin cookie ini juga semacam session identifier dari eWebMail. Langkah selanjutnya adalah membersihkan browser dari semua cookie dan login ke eWebMail sebagai xxx@ewebmailexample.com. Cookie “uid” di-set, dan segera kita dapat melihat halaman inbox yang ternyata memiliki satu buah pesan email. Email ini berasal dari service eWebMail.
Berikut adalah gambar dari ilustrasi tersebut :
Cara Pencegahan Yang Dapat Dilakukan
a.      Dengan Cookie
Cookie ditangani melalui browser. Browser mengirimkan cookie yang diperlukan ke web server bersama denganrequest HTTP jika sebelumnya ada cookie yang diterima dari server yang sama. Browser terkenal, seperti Netscape, Internet Explorer, dan Opera menangani cookie secara baik. Cookie lebih menguntungkan daripada field tersebunyi.
Field tersebunyi selalu memerlukan halaman form HTML untuk dikirim kembali ke server, sedangkan cookie tidak memerlukan form HTML apapun.Segi kerugiannya adalah kebanyakan situs menggunakan cookie untuk melacak tingkah laku user. Situs yang menampilkan banner iklan diketahui melanggar privacy user dengan cara mengumpulkan informasi tentang user secara berlebihan melalui pelacakan aktivitas user via cookie dan acuan-acuan HTTP. Sayangnya, browser tidak memiliki mekanisme built-in yang memadai untuk secara selektif hanya memilih cookie-cookie tertentu saja. Untuk maksud ini program seperti Cookie Pal dapat digunakan sebagai alat bantu.
b.      Dengan Field Tersembunyi
Field tersembunyi di dalam form HTML dapat juga digunakan untuk mengirimkan dan mengembalikan informasi antara browser dan web server. Keuntungan field tersebunyi dibandingkan cookie adalah field tersebut tetap dapat bekerja walaupun browser telah diatur untuk menolak semua cookie.

Label:

Komentar

Posting Komentar

Postingan populer dari blog ini

Belajar SEO : Cara Meningkatkan Viewer dengan Banyak Keyword

Keyword musiman biasanya akan memiliki tingkat pencarian yang tinggi hanya dalam beberapa hari saja, oleh karena itu optimasi yang tinggi diperlukan agar artikel yang diposting cepat naik di SERP dan otomatis tingkat viewer blog akan meningkat. Langkah – langkah yang perlu di perhatikan agar SEO yang dilakukan optimal adalah sebagai berikut : 1. Membuat artikel dengan keyword yang sedang banyak dicari, usahakan agar banyaknya keyword yang ada pada isi artikel sekitar 5-8 persen, jangan lebih dari 10 persen. 2. Gunakan tittle posting yang sesuai dengan keyword yang ingin di tembak. 3. Publikasikan artikel yang telah dibuat, kemudian tunggu beberapa saat hingga artikel terindeks secara alami oleh google.  4. Setelah artikel terindeks dengan baik oleh SE, maka mulai mencari backlink, untuk tipe keyword musiman sebaiknya tidak mencari backlink menggunakan blog commenting. 5. Menurut para pengguna internet dan blogger, backlink terbaik adalah menggunakan situs jejaring sosial. 6. Jik...
Posting Komentar
Baca selengkapnya

Anda Merasa Jago Hacker ? Microsoft Menyiapkan 200 Juta Rupiah Untuk Yang Menemukan Bugs Di Office Insider

Bagi kamu yang mempunyai bakat dalam berburu bugs dan menemukan celah keamanan, Nih kesempatan emas buat anda dari Microsoft. Microsoft baru saja membuka program Bug Bounty Hunter untuk Microsoft Office Insider. Barang siapa saja yang bisa menemukan celah keamanan di Office Insider, Microsoft berani memberikan hadiah dari $6000 – $15000 — atau mulai dari 80 juta hingga 200 juta rupiah. Tentu saja besarnya hadiah bakal disesuaikan dengan bugs dan celah keamanan yang dilaporkan. Celah keamanan yang dicari oleh Microsoft adalah: Elevasi privilege via Office Protected View Eksekusi macro yang berhasil lolos dari proteksi blokir macro Eksekusi code yang berhasil lolos dari proteksi attachment Kesempatan ini dibuka sampai 15 Juni 2017, jadi bagi kamu yang tertarik masih ada cukup waktu untuk  ngulik-ngulik  Microsoft Office Insider Build. Microsoft Office Insider sendiri merupakan versi Preview (Beta / Early Access) dari Microsoft Office dan bisa kamu download di...
Posting Komentar
Baca selengkapnya

Pengenalan Yii Framework

Assalamualaikum..... Disini saya akan menposting Yii Framework. sebelum kita belajar Yii Framework, lebih baik kita disini membahas tentang pengenalan Yii Framework. Supaya kita lebih memahami base dari Yii Framework ini, pada artikel kali ini, kita akan mulai mengenal apa sih Yii Framework itu? dan apa singkatan dari Yii ? Metode apa yang digunakan Yii? dan mengarah kemanakah Yii tersebut? kepana sih harus mengunakan Yii Framewok? bagaimana prospek Yii Framework di indonesia ini? Sejarah Yii Framework Berdasarkan website resmi Yii framework http://www.yiiframework.com, Yii merupakan gagasan dari seorang programmer asal china yang bernama Qiang Xue . Qiang Xue memulai pengembahangan Yii framework pada tanggal 1 januari 2008 setelah sebelumnya si om qiang juga sempat mengembangkan framework prado. om qiang xue mengembangkan Yii framework pada awalnya hingga hampir menghabiskan setahun hingga pada akhirnya Yii 1.0 pertama kali di rilis ke publik pada tanggal 3 desember 2008. Apa itu Yii...
Posting Komentar
Baca selengkapnya