Assalam mualaikummm....
Sebelumnya saya ucapkan terimakasih kepada anda pengunjung setia blog ini.
Kali ini saya akan berbagi kepada anda tentang teknik-teknik Session Hijacking dan cara pencegahannya.
Ok tanpa banyak basa-basinya, kita langsung saja ke topikbahasan.
cekidotttt........! :D
Dalam ilmu komputer, session hijacking, kadang-kadang juga dikenal sebagai cookie hijacking adalah eksploitasi komputer valid session-kadang disebut juga session key-untuk mendapatkan akses tidak sah ke informasi atau layanan dalam sistem komputer. Secara khusus, digunakan untuk merujuk pada pencurian cookie ajaib yang digunakan untuk otentikasi pengguna ke server jauh. Ini memiliki relevansi khusus untuk web developer, sebagai HTTP cookies digunakan untuk menjaga sesi pada banyak situs web dapat dengan mudah dicuri oleh penyerang menggunakan komputer perantara atau dengan akses ke cookie yang disimpan pada komputer korban (lihat cookie pencurian HTTP).
Sebuah metode yang populer adalah dengan menggunakan sumber-routed paket IP. Hal ini memungkinkan seorang hacker di titik A pada jaringan untuk berpartisipasi dalam percakapan antara B dan C dengan mendorong paket IP melewati mesin nya.
Jika source-routing dimatikan, hacker dapat menggunakan “blind” hijacking, dimana ia menebak tanggapan dari dua mesin. Dengan demikian, hacker dapat mengirim perintah, tetapi tidak pernah dapat melihat respon. Namun, perintah umum akan menetapkan sandi yang memungkinkan akses dari tempat lain di internet.
Seorang hacker juga bisa "inline" antara B dan C menggunakan program sniffing untuk menonton pembicaraan. Hal ini dikenal sebagai "man-in-the-middle attack".
Sejarah
Session hijacking (Sesi pembajakan) tidak mungkin dengan versi awal HTTP.
Protokol HTTP versi 0.8 dan 0.9 tidak memiliki cookie dan fitur lainnya yang diperlukan untuk sesi pembajakan. 0.9beta Versi Mosaic Netscape, dirilis pada tanggal 13 Oktober 1994, didukung cookies.
Versi awal dari HTTP 1.0 memang memiliki beberapa kelemahan keamanan yang berhubungan dengan pembajakan, tapi mereka sulit untuk mengeksploitasi karena keanehan yang paling awal HTTP 1.0 server dan browser. Seperti HTTP 1.0 telah ditetapkan sebagai fallback untuk HTTP 1.1 sejak awal 2000-an - dan sebagai HTTP 1.0 server semua pada dasarnya HTTP 1.1 server sesi masalah pembajakan telah berkembang menjadi risiko keamanan hampir permanen.
Pengenalan supercookies dan fitur lainnya dengan HTTP modern 1.1 telah memungkinkan untuk masalah pembajakan menjadi masalah keamanan yang sedang berlangsung. Webserver dan Browser mesin negara standardisasi telah memberikan kontribusi terhadap masalah keamanan ini sedang berlangsung.
Metode
Ada empat metode utama yang digunakan untuk memperbuat session hijack. Ini adalah:
Session Fixation - di mana penyerang menetapkan session id pengguna untuk satu diketahui olehnya, misalnya dengan mengirimkan pengguna email dengan link yang berisi id sesi tertentu. Penyerang kini hanya harus menunggu sampai pengguna log in.
Session Sidejacking - di mana penyerang menggunakan packet sniffing untuk membaca lalu lintas jaringan antara dua pihak untuk mencuri cookie sesi. Banyak situs web menggunakan enkripsi SSL untuk halaman login untuk mencegah penyerang melihat password, tetapi tidak menggunakan enkripsi untuk sisa situs sekali dikonfirmasi. Hal ini memungkinkan penyerang yang dapat membaca lalu lintas jaringan untuk mencegat semua data yang disampaikan ke server atau web halaman yang dilihat oleh klien. Karena data ini termasuk session cookie, memungkinkan dia untuk menyamar sebagai korban, bahkan jika password sendiri tidak compromised. Unsecured hotspot Wi-Fi sangat rentan, seperti orang berbagi jaringan umumnya akan dapat membaca sebagian besar lalu lintas web antara node lain dan jalur akses.
Alternatively, penyerang dengan akses fisik hanya dapat mencoba untuk mencuri kunci sesi, misalnya, memperoleh file atau isi memori dari bagian yang tepat dari baik komputer pengguna atau server.
Cross-Site Scripting - di mana trik penyerang komputer pengguna ke dalam kode yang diperlakukan sebagai dipercaya berjalan karena tampaknya milik server, yang memungkinkan penyerang untuk mendapatkan salinan cookie atau melakukan operasi lain.
Pencegahan
Metode untuk mencegah pembajakan sesi meliputi:
Enkripsi lalu lintas data yang melewati antara pihak, khususnya session key, meskipun idealnya semua lalu lintas untuk seluruh sesi dengan menggunakan SSL / TLS. Teknik ini banyak diandalkan-upon oleh bank berbasis web dan layanan e-commerce lain, karena itu benar-benar mencegah serangan sniffing gaya. Namun, masih bisa dimungkinkan untuk melakukan beberapa jenis lain dari sesi pembajakan. Sebagai tanggapan, para ilmuwan dari Radboud University Nijmegen diusulkan pada tahun 2013 cara untuk mencegah pembajakan dengan menghubungkan sesi aplikasi dengan mandat SSL / TLS
Penggunaan nomor panjang acak atau string sebagai kunci sesi (session key). Hal ini mengurangi risiko bahwa penyerang hanya bisa menebak kunci sesi yang valid melalui trial and error atau serangan kekerasan.
Regenerasi id session setelah berhasil login. Hal ini untuk mencegah sesi fiksasi karena penyerang tidak mengetahui id sesi pengguna setelah s / ia telah login
Beberapa layanan melakukan pemeriksaan sekunder terhadap identitas pengguna. Sebagai contoh, server web bisa memeriksa dengan setiap permintaan yang dibuat bahwa alamat IP pengguna cocok dengan yang terakhir digunakan selama sesi tersebut. Ini tidak mencegah serangan oleh seseorang yang berbagi alamat IP yang sama, bagaimanapun, dan bisa membuat frustasi bagi pengguna yang alamat IP bertanggung jawab untuk mengubah selama sesi browsing.
Atau, beberapa layanan akan mengubah nilai cookie dengan setiap permintaan. Hal ini secara dramatis mengurangi jendela di mana seorang penyerang dapat beroperasi dan memudahkan untuk mengidentifikasi apakah serangan telah terjadi, tetapi dapat menyebabkan masalah teknis lainnya (misalnya, dua sah, waktunya erat permintaan dari klien yang sama dapat menyebabkan cek tanda kesalahan pada server).
Pengguna juga mungkin ingin log out dari situs web setiap kali mereka selesai menggunakan mereka.Namun ini tidak akan melindungi terhadap serangan seperti Firesheep.
Sebelumnya saya ucapkan terimakasih kepada anda pengunjung setia blog ini.
Kali ini saya akan berbagi kepada anda tentang teknik-teknik Session Hijacking dan cara pencegahannya.
Ok tanpa banyak basa-basinya, kita langsung saja ke topikbahasan.
cekidotttt........! :D
Dalam ilmu komputer, session hijacking, kadang-kadang juga dikenal sebagai cookie hijacking adalah eksploitasi komputer valid session-kadang disebut juga session key-untuk mendapatkan akses tidak sah ke informasi atau layanan dalam sistem komputer. Secara khusus, digunakan untuk merujuk pada pencurian cookie ajaib yang digunakan untuk otentikasi pengguna ke server jauh. Ini memiliki relevansi khusus untuk web developer, sebagai HTTP cookies digunakan untuk menjaga sesi pada banyak situs web dapat dengan mudah dicuri oleh penyerang menggunakan komputer perantara atau dengan akses ke cookie yang disimpan pada komputer korban (lihat cookie pencurian HTTP).
Sebuah metode yang populer adalah dengan menggunakan sumber-routed paket IP. Hal ini memungkinkan seorang hacker di titik A pada jaringan untuk berpartisipasi dalam percakapan antara B dan C dengan mendorong paket IP melewati mesin nya.
Jika source-routing dimatikan, hacker dapat menggunakan “blind” hijacking, dimana ia menebak tanggapan dari dua mesin. Dengan demikian, hacker dapat mengirim perintah, tetapi tidak pernah dapat melihat respon. Namun, perintah umum akan menetapkan sandi yang memungkinkan akses dari tempat lain di internet.
Seorang hacker juga bisa "inline" antara B dan C menggunakan program sniffing untuk menonton pembicaraan. Hal ini dikenal sebagai "man-in-the-middle attack".
Sejarah
Session hijacking (Sesi pembajakan) tidak mungkin dengan versi awal HTTP.
Protokol HTTP versi 0.8 dan 0.9 tidak memiliki cookie dan fitur lainnya yang diperlukan untuk sesi pembajakan. 0.9beta Versi Mosaic Netscape, dirilis pada tanggal 13 Oktober 1994, didukung cookies.
Versi awal dari HTTP 1.0 memang memiliki beberapa kelemahan keamanan yang berhubungan dengan pembajakan, tapi mereka sulit untuk mengeksploitasi karena keanehan yang paling awal HTTP 1.0 server dan browser. Seperti HTTP 1.0 telah ditetapkan sebagai fallback untuk HTTP 1.1 sejak awal 2000-an - dan sebagai HTTP 1.0 server semua pada dasarnya HTTP 1.1 server sesi masalah pembajakan telah berkembang menjadi risiko keamanan hampir permanen.
Pengenalan supercookies dan fitur lainnya dengan HTTP modern 1.1 telah memungkinkan untuk masalah pembajakan menjadi masalah keamanan yang sedang berlangsung. Webserver dan Browser mesin negara standardisasi telah memberikan kontribusi terhadap masalah keamanan ini sedang berlangsung.
Metode
Ada empat metode utama yang digunakan untuk memperbuat session hijack. Ini adalah:
Session Fixation - di mana penyerang menetapkan session id pengguna untuk satu diketahui olehnya, misalnya dengan mengirimkan pengguna email dengan link yang berisi id sesi tertentu. Penyerang kini hanya harus menunggu sampai pengguna log in.
Session Sidejacking - di mana penyerang menggunakan packet sniffing untuk membaca lalu lintas jaringan antara dua pihak untuk mencuri cookie sesi. Banyak situs web menggunakan enkripsi SSL untuk halaman login untuk mencegah penyerang melihat password, tetapi tidak menggunakan enkripsi untuk sisa situs sekali dikonfirmasi. Hal ini memungkinkan penyerang yang dapat membaca lalu lintas jaringan untuk mencegat semua data yang disampaikan ke server atau web halaman yang dilihat oleh klien. Karena data ini termasuk session cookie, memungkinkan dia untuk menyamar sebagai korban, bahkan jika password sendiri tidak compromised. Unsecured hotspot Wi-Fi sangat rentan, seperti orang berbagi jaringan umumnya akan dapat membaca sebagian besar lalu lintas web antara node lain dan jalur akses.
Alternatively, penyerang dengan akses fisik hanya dapat mencoba untuk mencuri kunci sesi, misalnya, memperoleh file atau isi memori dari bagian yang tepat dari baik komputer pengguna atau server.
Cross-Site Scripting - di mana trik penyerang komputer pengguna ke dalam kode yang diperlakukan sebagai dipercaya berjalan karena tampaknya milik server, yang memungkinkan penyerang untuk mendapatkan salinan cookie atau melakukan operasi lain.
Pencegahan
Metode untuk mencegah pembajakan sesi meliputi:
Enkripsi lalu lintas data yang melewati antara pihak, khususnya session key, meskipun idealnya semua lalu lintas untuk seluruh sesi dengan menggunakan SSL / TLS. Teknik ini banyak diandalkan-upon oleh bank berbasis web dan layanan e-commerce lain, karena itu benar-benar mencegah serangan sniffing gaya. Namun, masih bisa dimungkinkan untuk melakukan beberapa jenis lain dari sesi pembajakan. Sebagai tanggapan, para ilmuwan dari Radboud University Nijmegen diusulkan pada tahun 2013 cara untuk mencegah pembajakan dengan menghubungkan sesi aplikasi dengan mandat SSL / TLS
Penggunaan nomor panjang acak atau string sebagai kunci sesi (session key). Hal ini mengurangi risiko bahwa penyerang hanya bisa menebak kunci sesi yang valid melalui trial and error atau serangan kekerasan.
Regenerasi id session setelah berhasil login. Hal ini untuk mencegah sesi fiksasi karena penyerang tidak mengetahui id sesi pengguna setelah s / ia telah login
Beberapa layanan melakukan pemeriksaan sekunder terhadap identitas pengguna. Sebagai contoh, server web bisa memeriksa dengan setiap permintaan yang dibuat bahwa alamat IP pengguna cocok dengan yang terakhir digunakan selama sesi tersebut. Ini tidak mencegah serangan oleh seseorang yang berbagi alamat IP yang sama, bagaimanapun, dan bisa membuat frustasi bagi pengguna yang alamat IP bertanggung jawab untuk mengubah selama sesi browsing.
Atau, beberapa layanan akan mengubah nilai cookie dengan setiap permintaan. Hal ini secara dramatis mengurangi jendela di mana seorang penyerang dapat beroperasi dan memudahkan untuk mengidentifikasi apakah serangan telah terjadi, tetapi dapat menyebabkan masalah teknis lainnya (misalnya, dua sah, waktunya erat permintaan dari klien yang sama dapat menyebabkan cek tanda kesalahan pada server).
Pengguna juga mungkin ingin log out dari situs web setiap kali mereka selesai menggunakan mereka.Namun ini tidak akan melindungi terhadap serangan seperti Firesheep.
Metode Hijacking dan Cara Pencegahanya
Reviewed by Unknown
on
14:08
Rating:
Reviewed by Unknown
on
14:08
Rating:
Posts
No comments: