Ranking 2 pada OWASP top 10 adalah Broken Authentication and Session Management, atau istilah populernya adalah session hijacking. Ketika kita ingin login ke sebuah website misalnya facebook, kita akan diminta memasukkan login dan password. Bila login dan password benar maka login berhasil dan kita mendapat akses ke facebook. Nah server akan membuat session, dan menyimpan informasi session (umumnya berupa cookies) pada browser di komputer kita. Selama session belum berakhir (umumnya ketika kita logout) maka server tidak akan meminta kita untuk memasukkan login dan password ketika kita membuka facebook. Jadi ibaratnya selama session itu masih berlaku (valid) antara komputer kita dengan server facebook dibangun sebuah jalur koneksi khusus.
Nah penyerangan contohnya dilakukan dengan metode sniffing, dan mencuri session. Jadi penyerang akan melakukan sniffing dan mencuri cookies yang digunakan. Cookies ini kemudian dipasang di browser penyerang. Bila session masih valid maka penyerang dapat masuk ke Facebook korban tanpa perlu login. Selain itu ada juga penyerangan yang dilakukan dengan metoda phishing.
Ada beberapa kesalahan pada pengembangan website yang bisa digunakan untuk melakukan penyerangan ini. Misalnya website tidak melakukan timeout terhadap session, kemudian password management yang tidak baik, atau adanya fungsi recover password untuk user yang lupa password yang tidak aman. Yang paling parah adalah website yang menampilkan session ID pada URL. Selain itu ada info password dan login yang dikirimkan tanpa dienkripsi.
Untuk pencegahan, OWASP telah menyediakan dokumen OWASP ASVS (Application Security Verifivation Standard). Untuk bacaan lebih lanjut bisa dilihat pada link berikut:
OWASP Authentication cheat sheet
3 tanggapan untuk “Session Hijacking”
Your article is very good.
I also have the same article about sesion hijacking and maybe my article can help about sesion hijacking session
http://tutorialku.xyz/pengertian-dan-tutorial-sesion-hijacking-untuk-masuk-website-tanpa-username-dan-pasword/?preview=true
mas tulisannya bagus, maaf ya kalau boleh ngasih saran, menurut saya lebih baik sharingnya fokus ke sisi defense. Klo tutorial hacking, takutnya disalahgunakan. sorry klo kurang berkenan, thx
setuju dengan mas julismail