Penjelasan Mengenai Session Hijacking

Session hijacking, salah satu jenis serangan yang bisa dilakuin kalo kita mau ngebajak account salah satu temen kita di satu website. Session hijacking ini sebenernya dulu udah pernah beberapa kali gw sebut-sebut di sini, yang paling gw inget itu pas gw habis dapet tugas dari dosen buat ngebajak account Facebook atau Twitter orang pake Firesheep.

Kenapa gw ngebahas masalah ini lagi? Jadi ceritanya gw ngajar workshop untuk anak-anak SMA di kampus, & bagian yang harus gw ajarin itu ngebahas masalah secure browsing & web hacking. Di bagian secure browsing, salah satunya bahasannya mengenai security threat session hijacking. Nah, session hijacking ini bagian yang lumayan sering bikin bingung anak-anak murid gw di kelas workshop.

Session hijacking, sesuai dengan namanya, dilakuin dengan cara ngebajak session dari dari suatu user ke suatu website, misalnya Facebook (ini yang paling populer soalnya). Tapi apa itu session?

Kalo kita buka browser kita & ngetik alamat URL Facebook, kita bakal nemuin form login untuk input username & password. Setelah username & password kita isi, lalu kita submit form itu. Lalu kita masuk ke Facebook sebagai account yang kita input username & passwordnya. Pernah nggak kita kepikiran gimana caranya website kayak Facebook ngenalin komputer tempat kita login? Kenapa waktu kita login itu yang bisa kita utak atik cuma account kita, nggak pernah ketuker sama account orang-orang lain yang login ke Facebook di waktu yang sama dengan kita? Itu semua karena ada session.

Session ini punya kode pengenal yang namanya session ID. Waktu kita konek ke Facebook, otomatis di server digenerate session ID yang berfungsi untuk pengenal antara komputer kita & server. Lalu data session ID itu dikirim ke komputer kita masing-masing. Waktu kita login, username & password kita bakal dicocokin dengan data user yang terdaftar di database Facebook. Kalau cocok, session yang kita pake nanti bakal dikasih akses ke data-data account yang kita pake login tadi.

Karena session ID diperluin sebagai pengenal session, setiap kali kita mau buka halaman baru atau ngupdate status di Facebook, session ID bakal dikirim ke sana bersamaan dengan URL halaman baru yang mau kita buka atau teks yang mau kita tulis di status update kita. Karena session ID ikut dikirim, server Facebook bisa ngenalin user mana yang ngerequest buat ngebuka halaman baru & user mana yang mau ngupdate status, & nggak bakalan ketuker dengan user lain.

Session hijacking dilakuin dengan cara ngedapetin session ID & data-data lain yang diperluin server untuk ngenalin user yang lagi login waktu itu. Session hijacking bisa dilakuin pake beberapa teknik, contohnya network sniffing & cookie stealing.

Network sniffing dilakuin dengan cara masang sniffer di jaringan yang dilewatin data session yang dikirim user ke server atau sebaliknya. Tapi serangan ini bisa dicegah kalo kita pake protocol HTTPS, karena data session yang dikirim lewat protocol HTTPS dienkripsi. Kalo datanya dienkripsi, penyerang nggak bakalan bisa make data itu selama dia nggak bisa ngedekripsinya.

Cookie stealing dilakuin dengan cara nyolong data session yang disimpen di dalam cookie browser punya user yang bersangkutan. Cara ngelakuinnya yang paling barbar sih tinggal colok flash disk ke komputer korban, copy cookie yang nyimpen data sessionnya, lalu paste di komputer kita. Cookie stealing yang lebih keren bisa dilakuin pake teknik XSS, tapi agak susah untuk dilakuin kalo security website targetnya bagus.

5 thoughts on “Penjelasan Mengenai Session Hijacking

  1. Ini yang buat bocorin id premium website2 file sharing ya…
    Pernah liat di kaskus yg bagi2 cookies… Biar bisa login akun premium file sharing…😀😀😀
    Karena dibagiin gitu, ngikut aja d… Numpang donlod cepet…😀

    • Iya, kurang lebih kayak gitu. Yang di situ pake cookie stealing, tapi kurang tau deh apa sessionnya juga dibajak atau cuma cookienya aja yang diambil buat dapet premium😀

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s