Penjelasan Mengenai Session Hijacking

Session hijacking, salah satu jenis serangan yang bisa dilakuin kalo kita mau ngebajak account salah satu temen kita di satu website. Session hijacking ini sebenernya dulu udah pernah beberapa kali gw sebut-sebut di sini, yang paling gw inget itu pas gw habis dapet tugas dari dosen buat ngebajak account Facebook atau Twitter orang pake Firesheep.

Kenapa gw ngebahas masalah ini lagi? Jadi ceritanya gw ngajar workshop untuk anak-anak SMA di kampus, & bagian yang harus gw ajarin itu ngebahas masalah secure browsing & web hacking. Di bagian secure browsing, salah satunya bahasannya mengenai security threat session hijacking. Nah, session hijacking ini bagian yang lumayan sering bikin bingung anak-anak murid gw di kelas workshop.

Session hijacking, sesuai dengan namanya, dilakuin dengan cara ngebajak session dari dari suatu user ke suatu website, misalnya Facebook (ini yang paling populer soalnya). Tapi apa itu session?

Kalo kita buka browser kita & ngetik alamat URL Facebook, kita bakal nemuin form login untuk input username & password. Setelah username & password kita isi, lalu kita submit form itu. Lalu kita masuk ke Facebook sebagai account yang kita input username & passwordnya. Pernah nggak kita kepikiran gimana caranya website kayak Facebook ngenalin komputer tempat kita login? Kenapa waktu kita login itu yang bisa kita utak atik cuma account kita, nggak pernah ketuker sama account orang-orang lain yang login ke Facebook di waktu yang sama dengan kita? Itu semua karena ada session.

Continue reading

HTTPS, Aman di Jalan

Januari tahun ini, pas gw UAS mata kuliah Keamanan Komputer & jaringan, di lembar soalnya ada satu pertanyaan ini. Gw nggak inget bener gimana kata-kata di soal itu, sekarang udah lewat dua bulan dari waktu gw ngerjain soal itu kemarin. Pokoknya di soal itu kita ditanya & disuruh ngejelasin, apa protokol HTTPS bisa nyegah serangan XSS & SQL injection di website yang bersangkutan?

Kira-kira gimana jawabannya? Bisa atau nggak?

Jawabannya sih nggak bisa. Alesannya, karena HTTPS itu fungsinya cuma untuk enkripsi & dekripsi data yang ditransfer antara client & server. Serangan XSS & SQL injection bakal tetep jalan selama scriptnya bisa dijalanin di server, & pastinya enkripsi dari protokol HTTPS nggak ada gunanya di sini. Soalnya script tadi bakal didekripsi lagi di server, & kalo udah didekripsi ya…scriptnya kembali jadi script XSS atau SQL injection lagi. HTTPS nggak ngelakuin filter untuk script-script begini, serangan semacem ini perlu ditangani pake cara lain.

Continue reading

Firesheep: Session Hijacking

Sekarang gw mau ngejelasin soal add on Firefox yang namanya Firesheep. Add on Firesheep ini bisa dipake buat ngehijack session orang lain di website-website tertentu, misalnya Twitter. Firesheep nggak kompatibel dengan Firefox versi baru, jadi kalo mau nyobain harus download & nginstall Firefox versi yang rada jadul dulu. Gw sih nyobain Firesheep ini juga baru kemarin buat tugas kuliah, & gw pakenya di Firefox versi 3.6.24 yang gw download di sini. Firesheepnya sendiri bisa didownload dari sini.

Sebelum mulai kayaknya gw perlu jelasin sedikit soal session di sini. Gw pake contoh Twitter aja, tiap kali kita ke Twitter kita punya session anonymous. Sesudah kita login, kita punya session yang berfungsi buat ngenalin user yang login. Misalnya kita punya account Twitter @blablabla, waktu kita login pake username “blablabla” nanti sessionnya bakal ngenalin kita sebagai @blablabla.

Continue reading