Session Hijacking Merupakan aksi pengambilan kendali session milik user lain setelah sebelumnya “pembajak” berhasil memperoleh autentifikasi ID session yang biasanya tersimpan dalam cookies. Session hijacking menggunakan metode captured, brute forced atau reserve enggineered guna memperoleh ID session, yang untuk selanjutnya memegang kendali atas session yang dimiliki oleh user lain tersebut selama session berlangsung.
HTTP merupakan protokol yang stateless, sehingga perancang
aplikasi mengembangkan suatu cara untuk menelusuri suatu state diantara
user-user yang koneksi secara multiple. Aplikasi menggunakan session untuk
menyimpan parameter-parameter yang relevan terhadap user. Session akan terus
ada pada server selama user masih aktif / terkoneksi. Session akan otomatis
dihapus jika user logout atau melampaui batas waktu koneksi. Karena sifatnya
ini, session dapat dimanfaatkan oleh seorang hacker untuk melakukan session
hijacking.
Istilah sesi pembajakan (session hijacking) umumnya digunakan
untuk menggambarkan proses sebuah koneksi TCP yang diambil alih oleh sebuah
rangkaian serangan yang sudah dapat diprediksi sebelumnya. Pada serangan
seperti itu, penyerang memperoleh kendali melalui koneksi TCP yang sudah ada.
Bila diterapkan pada keamanan aplikasi web, session hijacking mengacu pada
pengambilalihan sebuah session aplikasi web.
Aspek-aspek ketidakamanan (serangan) yang sering terjadi antara
lain :
1. Interruption
Suatu asset yang ada pada suatu sistem diserang sehingga menjadi
tidak tersedia atau tidak dapat dipakai oleh yang berwenang. Contohnya adalah
perusakan/modifikasi terhadap piranti keras atau saluran jaringan.
2. Interception
Suatu pihak yang tidak berwenang mendapatkan akses pada suatu
aset. Pihak yang dimaksud bisa berupa orang, program, atau sistem yang lain.
Contohnya adalah penyadapan terhadap data dalam suatu jaringan.
3. Modification
Suatu pihak yang tidak berwenang dapat melakukan perubahan
terhadap suatu aset. Contohnya adalah perubahan nilai pada file data,
modifikasi program sehingga berjalan dengan tidak semestinya, dan modifikasi
pesan yang sedang ditransmisikan dalam jaringan.
Lebih singkatnya adalah
pihak tak bertanggung jawab memasang aplikasi mata-mata/spying di computer yang dipakai oleh pengguna
pihak tak bertanggung jawab memasang aplikasi mata-mata/spying di computer yang dipakai oleh pengguna
Berikut adalah gambar dari ilustrasi tersebut :
Cara Pencegahan Yang Dapat Dilakukan
a. Dengan Cookie
Cookie ditangani melalui browser. Browser mengirimkan cookie yang
diperlukan ke web server bersama dengan request HTTP jika sebelumnya ada cookie
yang diterima dari server yang sama. Browser terkenal, seperti Netscape,
Internet Explorer, dan Opera menangani cookie secara baik. Cookie lebih
menguntungkan daripada field tersebunyi.
Field tersebunyi selalu memerlukan halaman form HTML untuk dikirim
kembali ke server, sedangkan cookie tidak memerlukan form HTML apapun.Segi
kerugiannya adalah kebanyakan situs menggunakan cookie untuk melacak tingkah
laku user. Situs yang menampilkan banner iklan diketahui melanggar privacy user
dengan cara mengumpulkan informasi tentang user secara berlebihan melalui
pelacakan aktivitas user via cookie dan acuan-acuan HTTP. Sayangnya, browser
tidak memiliki mekanisme built-in yang memadai untuk secara selektif hanya
memilih cookie-cookie tertentu saja. Untuk maksud ini program seperti Cookie
Pal dapat digunakan sebagai alat bantu.
b. Dengan Field
Tersembunyi
Field tersembunyi di dalam form HTML dapat juga digunakan untuk
mengirimkan dan mengembalikan informasi antara browser dan web server.
Keuntungan field tersebunyi dibandingkan cookie adalah field tersebut tetap
dapat bekerja walaupun browser telah diatur untuk menolak semua cookie.
Tidak ada komentar :
Posting Komentar