Keamanan
Manajemen Sesi IDSECCONF 2017
terhadap Serangan Moc hamad Akbar
Anggamaulana
@ IDSECCONF
2017
Tinjauan
Pustaka
Keamanan piranti lunak
merupakan proses mendesain,
membangun dan melakukan
uji coba sebuah piranti lunak
dengan memperhatikan
keamanan di tiap bagiannya
agar piranti lunak tersebut
dapat menahan serangan
Tahapan SDLC (Gary
McGraw)
@ IDSECCONF
2017
Tinjauan
Pustaka
@ IDSECCONF
2017
Session adalah salah-satu media yang ada didalam
manajemen sesi yang digunakan untuk
Sessio menyimpan data sementara kedalam sebuah
variable (variable session) sehingga data tadi
n dapat diakses oleh client selama variable session
tadi tidak dihilangkan (destroy) ataupun
dikosongkan (unset).
@ IDSECCONF
2017
Cookies atau Web Cookies adalah salah-satu
media yang ada didalam manajemen sesi yang
digunakan untuk menyimpan data sementara
kedalam sebuah variabel sehingga dapat diakses
oleh client selama variabel tersebut tidak
dihilangkan ataupun dikosongkan. Berbeda
Cookies dengan session yang nilai variabelnya disimpan di
sisi server, cookies menyimpan nilai variabel di sisi
client.
Jenis dari cookies :
🞅 Non Presistent (Session) Cookies
🞅 Presistent Cookies
@ IDSECCONF
2017
Cookies
@ IDSECCONF
2017
🞅 Weak SSL Chipers Support
🞅 Information Submited Using the GET Method
🞅 Self-Signed Certifica tes, Insecure Keys,
and Passwords
Weak Session
🞅 Username Harvesting Applied to
Forgotten Password Process
@ IDSECCONF
2017
Session
Hijackin
g
🞅 Network Layer
🞅 Application Layer
CEH: Certified Ethic al Hacker Version 8 Study
Guide
@ IDSECCONF
2017
🞅 Session ID merupakan kode string yang
digunakan oleh server untuk melakukan
Session komunikasi data request - response
dengan user/client
Hijacking 🞅 Place?
on 🞅 Embedded in a URL
Application 🞅 Embedded as a
Hidden Field
L 🞅 Cookies
ayer
@ IDSECCONF
2017
(1) Session
Sniffing
@ IDSECCONF
2017
(2) Predictable Session
Token
Attacker melakukan prediksi session ID yang dihasilkan dari algoritma yang lemah,
attacker dapat melakukan analisis terhadap variable session dari pola yang ada.
1. Captured
http://kamsoft.co.id/dashboard.php?sesi=hay0805170800
http://kamsoft.co.id/dashboard.php?sesi=hay0805170802
http://kamsoft.co.id/dashboard.php?sesi=hay0805170804
2. Predicts
(a) hay : merupakan konstanta (biasanya username)
(b) 080517 : tanggal ketika diakses (tanggal 9 bulan 05
@ IDSECCONF tahun 2017)
2017
(c) 0800 : waktu ketika melakukan akses (jam 8 pagi)
(3) Man-In-
The- Middle
Attack
Attacker membaca,
melakukan modifikasi dan
selanjutnya mengirimkan
pesan yang telah
dipalsukan ke setiap target
yang sebelumnya
komunikasinya telah di
intercept. Secara
sederhana, komunikasi
yang terjadi antara client
dan server dilakukan
melalui attacker.
🞅 Client to Attacker
Connection
🞅 Attacker to Server
@ IDSECCONF
Connection
2017
(4) Man- 🞅 Cross-Site Script Attack
🞅 Cross-Site request Forgery
In- The- Attack
Attack
@ IDSECCONF
2017
Cross-Site
Script
Attack
@ IDSECCONF
2017
Cross-Site request
Forgery Attack
@ IDSECCONF
2017
(5) Session
Replay
Attack
Pada serangan ini attacker
mendengarkan pembicaraan
yang dilakukan user dengan
server, setelah itu menangkap
token autentikasi berupa Session
Token atau Session ID yang
digunakan user. Attacker
menggunakan token
autentikasi untuk melakukan
request ke server untuk
mendapatkan access yang
sama seperti user
@ IDSECCONF
2017
(6)
Session
Fixation
Session fixation
memanfaatkan link yang
berisi malicious code agar
diakses oleh korban. Isi dari
link tersebut biasanya
berupa session id yang
sebelumnya digunakan
attacker untuk melakukan
akses kedalam target
server.
@ IDSECCONF
2017
🞅 Dengan adanya layanan manajemen sesi, akan
mempermudah user dalam melakukan aktifitas
ketika mengakses sebuah web aplikasi
🞅 Tetapi apabila manajemen sesi tidak di atur dengan
baik, maka akan sangat beresiko bagi
“kenyamanan” user
Kesimpulan 🞅 Salah satu celah keamanan yang bisa
mengancam layanan manajemen sesi adalah
session hijacking.
🞅 Beberapa variasi Teknik session hijacking dapat di
kombinasikan dengan Teknik lain, seperti
spoofing, social-engineering?
@ IDSECCONF
2017
Terima
Kasih
Mochamad Akbar
Anggamaulana @ IDSECCONF
2017
@ IDSECCONF
2017