Session Hijacking


Ranking 2 pada OWASP top 10 adalah Broken Authentication and Session Management, atau istilah populernya adalah session hijacking. Ketika kita ingin login ke sebuah website misalnya facebook, kita akan diminta memasukkan login dan password. Bila login dan password benar maka login berhasil dan kita mendapat akses ke facebook. Nah server akan membuat session, dan menyimpan informasi session (umumnya berupa cookies) pada browser di komputer kita. Selama session belum berakhir (umumnya ketika kita logout) maka server tidak akan meminta kita untuk memasukkan login dan password ketika kita membuka facebook. Jadi ibaratnya selama session itu masih berlaku (valid) antara komputer kita dengan server facebook dibangun sebuah jalur koneksi khusus.

Nah penyerangan contohnya dilakukan dengan metode sniffing, dan mencuri session. Jadi penyerang akan melakukan sniffing dan mencuri cookies yang digunakan. Cookies ini kemudian  dipasang di browser penyerang. Bila session masih valid maka penyerang dapat masuk ke Facebook korban tanpa perlu login. Selain itu ada juga penyerangan yang dilakukan dengan metoda phishing.

owasp A2 o

Ada beberapa kesalahan pada pengembangan website yang bisa digunakan untuk melakukan penyerangan ini. Misalnya website tidak melakukan timeout terhadap session, kemudian password management yang tidak baik, atau adanya fungsi recover password untuk user yang lupa password yang tidak aman. Yang paling parah adalah website yang menampilkan session ID pada URL. Selain itu ada info password dan login yang dikirimkan tanpa dienkripsi.

Untuk pencegahan, OWASP telah menyediakan dokumen  OWASP ASVS (Application Security Verifivation Standard). Untuk bacaan lebih lanjut bisa dilihat pada link berikut:

OWASP Authentication cheat sheet

OWASP Forgot password Cheat sheet

Session Management Cheat sheet


3 tanggapan untuk “Session Hijacking”

    • mas tulisannya bagus, maaf ya kalau boleh ngasih saran, menurut saya lebih baik sharingnya fokus ke sisi defense. Klo tutorial hacking, takutnya disalahgunakan. sorry klo kurang berkenan, thx

Tinggalkan Balasan ke julismailBatalkan balasan