Penjelasan Mengenai Session Hijacking

Session hijacking, salah satu jenis serangan yang bisa dilakuin kalo kita mau ngebajak account salah satu temen kita di satu website. Session hijacking ini sebenernya dulu udah pernah beberapa kali gw sebut-sebut di sini, yang paling gw inget itu pas gw habis dapet tugas dari dosen buat ngebajak account Facebook atau Twitter orang pake Firesheep.

Kenapa gw ngebahas masalah ini lagi? Jadi ceritanya gw ngajar workshop untuk anak-anak SMA di kampus, & bagian yang harus gw ajarin itu ngebahas masalah secure browsing & web hacking. Di bagian secure browsing, salah satunya bahasannya mengenai security threat session hijacking. Nah, session hijacking ini bagian yang lumayan sering bikin bingung anak-anak murid gw di kelas workshop.

Session hijacking, sesuai dengan namanya, dilakuin dengan cara ngebajak session dari dari suatu user ke suatu website, misalnya Facebook (ini yang paling populer soalnya). Tapi apa itu session?

Kalo kita buka browser kita & ngetik alamat URL Facebook, kita bakal nemuin form login untuk input username & password. Setelah username & password kita isi, lalu kita submit form itu. Lalu kita masuk ke Facebook sebagai account yang kita input username & passwordnya. Pernah nggak kita kepikiran gimana caranya website kayak Facebook ngenalin komputer tempat kita login? Kenapa waktu kita login itu yang bisa kita utak atik cuma account kita, nggak pernah ketuker sama account orang-orang lain yang login ke Facebook di waktu yang sama dengan kita? Itu semua karena ada session.

Continue reading