Penjelasan Mengenai Session Hijacking

Session hijacking, salah satu jenis serangan yang bisa dilakuin kalo kita mau ngebajak account salah satu temen kita di satu website. Session hijacking ini sebenernya dulu udah pernah beberapa kali gw sebut-sebut di sini, yang paling gw inget itu pas gw habis dapet tugas dari dosen buat ngebajak account Facebook atau Twitter orang pake Firesheep.

Kenapa gw ngebahas masalah ini lagi? Jadi ceritanya gw ngajar workshop untuk anak-anak SMA di kampus, & bagian yang harus gw ajarin itu ngebahas masalah secure browsing & web hacking. Di bagian secure browsing, salah satunya bahasannya mengenai security threat session hijacking. Nah, session hijacking ini bagian yang lumayan sering bikin bingung anak-anak murid gw di kelas workshop.

Session hijacking, sesuai dengan namanya, dilakuin dengan cara ngebajak session dari dari suatu user ke suatu website, misalnya Facebook (ini yang paling populer soalnya). Tapi apa itu session?

Kalo kita buka browser kita & ngetik alamat URL Facebook, kita bakal nemuin form login untuk input username & password. Setelah username & password kita isi, lalu kita submit form itu. Lalu kita masuk ke Facebook sebagai account yang kita input username & passwordnya. Pernah nggak kita kepikiran gimana caranya website kayak Facebook ngenalin komputer tempat kita login? Kenapa waktu kita login itu yang bisa kita utak atik cuma account kita, nggak pernah ketuker sama account orang-orang lain yang login ke Facebook di waktu yang sama dengan kita? Itu semua karena ada session.

Continue reading

PHP – SESSION

Pernah liat website yang kalo kita ngetik URL langsung ke satu halamannya terus kita dipindahin ke halaman lain yang ngasih tau kalo halaman itu nggak boleh diakses orang yang nggak berkepentingan atau disuruh login dulu? Yang kayak begitu bisa kita bikin pake variabel session, yang sebelumnya harus diset dulu nilainya.

$_SESSION['ActiveUser'] = "User001";
$_SESSION['UserPrivilegeLevel'] = "Administrator";

Nah, yang di atas ini contoh variabel session yang udah diset nilainya. Anggep aja kita punya dua variabel session kayak yang di atas ini, yang satu gunanya buat nyimpen username punya user yang lagi aktif & yang satunya lagi gunanya buat nyimpen informasi jabatan user itu di sistem. Variabel session ini bisa diakses dari halaman-halaman PHP yang ada di server.

Continue reading