Scribd Logo
Unggah

Selamat datang di Scribd!

  • Bahan Pertemuan 5 - Keamanan Sistem Informasi

    Diunggah oleh

    Budi Hsn Daulay
    1 tayangan21 halaman
    Computer Science

    Judul Asli

    Bahan Pertemuan 5_Keamanan Sistem Informasi

    Hak Cipta

    © © All Rights Reserved

    Format Tersedia

    PPTX, PDF, TXT atau baca online dari Scribd

    Apakah menurut Anda dokumen ini bermanfaat?

    Apakah konten ini tidak pantas?

    Laporkan Dokumen Ini
    Computer Science

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai PPTX, PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    1 tayangan21 halaman

    Bahan Pertemuan 5 - Keamanan Sistem Informasi

    Diunggah oleh

    Budi Hsn Daulay
    Computer Science

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai PPTX, PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    dari 21

    Analisis Celah

    Keamanan
    Manajemen Sesi IDSECCONF 2017
    terhadap Serangan Moc hamad Akbar
    Anggamaulana

    Session Hijacking pada


    W
    eb Aplikasi
    Who Am
    I?

    🞅 My name is Mochamad Akbar


    Anggamaulana
    🞅 Occupation
    🞅 Echoers
    🞅 Student @ Institut Teknologi Bandung
    🞅 Freelancer
    🞅 Indipendent IT Researcher
    🞅 Junior IT Security @ softScheck Pte Ltd
    Singapore
    🞅 Contact
    🞅 mochamad.akbar@gmail.com
    Issu
    e
    Application functions related to authentication
    and session management are often implemented
    incorrectly, allowing attackers to compromise
    passwords, keys, or session tokens, or to exploit
    other implementation flaws to assume other users’
    identities temporarily or permanently.

    OWASP Top 10 – 2017

    @ IDSECCONF
    2017
    Tinjauan
    Pustaka
    Keamanan piranti lunak
    merupakan proses mendesain,
    membangun dan melakukan
    uji coba sebuah piranti lunak
    dengan memperhatikan
    keamanan di tiap bagiannya
    agar piranti lunak tersebut
    dapat menahan serangan
    Tahapan SDLC (Gary
    McGraw)

    @ IDSECCONF
    2017
    Tinjauan
    Pustaka

    Manajemen sesi adalah sebuah


    sistem yang digunakan oleh
    server ketika akan melakukan
    sebuah koneksi dengan client
    agar informasi koneksi yang
    ada dapat tersimpan dan
    nantinya client bisa langsung Alur kerja Session Management
    terhubung dengan server
    (OWASP)
    tanpa harus melakukan
    koneksi ulang

    @ IDSECCONF
    2017
    Session adalah salah-satu media yang ada didalam
    manajemen sesi yang digunakan untuk
    Sessio menyimpan data sementara kedalam sebuah
    variable (variable session) sehingga data tadi
    n dapat diakses oleh client selama variable session
    tadi tidak dihilangkan (destroy) ataupun
    dikosongkan (unset).

    @ IDSECCONF
    2017
    Cookies atau Web Cookies adalah salah-satu
    media yang ada didalam manajemen sesi yang
    digunakan untuk menyimpan data sementara
    kedalam sebuah variabel sehingga dapat diakses
    oleh client selama variabel tersebut tidak
    dihilangkan ataupun dikosongkan. Berbeda
    Cookies dengan session yang nilai variabelnya disimpan di
    sisi server, cookies menyimpan nilai variabel di sisi
    client.
    Jenis dari cookies :
    🞅 Non Presistent (Session) Cookies
    🞅 Presistent Cookies

    @ IDSECCONF
    2017
    Cookies

    @ IDSECCONF
    2017
    🞅 Weak SSL Chipers Support
    🞅 Information Submited Using the GET Method
    🞅 Self-Signed Certifica tes, Insecure Keys,
    and Passwords
    Weak Session
    🞅 Username Harvesting Applied to
    Forgotten Password Process

    Management 🞅 Autocomplete Enabled on Password


    Fields
    🞅 Session IDs Nonrandom and Too Short

    The Manager’s Guide to Web Application


    Security

    @ IDSECCONF
    2017
    Session
    Hijackin
    g

    Session hijacking adalah


    sinonim dari pencurian session,
    dimana attacker melakukan
    intercept dan take over secara
    sah komunikasi antara user
    dan host.

    🞅 Network Layer
    🞅 Application Layer
    CEH: Certified Ethic al Hacker Version 8 Study
    Guide

    @ IDSECCONF
    2017
    🞅 Session ID merupakan kode string yang
    digunakan oleh server untuk melakukan
    Session komunikasi data request - response
    dengan user/client
    Hijacking 🞅 Place?
    on 🞅 Embedded in a URL

    Application 🞅 Embedded as a
    Hidden Field

    L 🞅 Cookies

    ayer

    @ IDSECCONF
    2017
    (1) Session
    Sniffing

    Session sniffing adalah


    aktifitas sniffing yang
    dilakukan untuk
    mendapatkan session aktif.
    Session ID atau session
    token yang didapatkan
    digunakan hacker untuk
    mendapatkan akses
    terhadap server atau
    sumberdaya lain.

    @ IDSECCONF
    2017
    (2) Predictable Session
    Token
    Attacker melakukan prediksi session ID yang dihasilkan dari algoritma yang lemah,
    attacker dapat melakukan analisis terhadap variable session dari pola yang ada.
    1. Captured
    http://kamsoft.co.id/dashboard.php?sesi=hay0805170800

    http://kamsoft.co.id/dashboard.php?sesi=hay0805170802

    http://kamsoft.co.id/dashboard.php?sesi=hay0805170804

    2. Predicts
    (a) hay : merupakan konstanta (biasanya username)
    (b) 080517 : tanggal ketika diakses (tanggal 9 bulan 05
    @ IDSECCONF tahun 2017)
    2017
    (c) 0800 : waktu ketika melakukan akses (jam 8 pagi)
    (3) Man-In-
    The- Middle
    Attack
    Attacker membaca,
    melakukan modifikasi dan
    selanjutnya mengirimkan
    pesan yang telah
    dipalsukan ke setiap target
    yang sebelumnya
    komunikasinya telah di
    intercept. Secara
    sederhana, komunikasi
    yang terjadi antara client
    dan server dilakukan
    melalui attacker.

    🞅 Client to Attacker
    Connection
    🞅 Attacker to Server
    @ IDSECCONF
    Connection
    2017
    (4) Man- 🞅 Cross-Site Script Attack
    🞅 Cross-Site request Forgery
    In- The- Attack

    Browser 🞅 Trojan/Unwanted Program

    Attack

    @ IDSECCONF
    2017
    Cross-Site
    Script
    Attack

    Merupakan tipe serangan yang


    terjadi ketika attacker
    mengirimkan malicious javascript
    didalam sebuah link yang
    selanjutnya diakses oleh korban
    sehingga menampilkan cookie
    aktif yang sedang digunakan
    oleh korban.

    @ IDSECCONF
    2017
    Cross-Site request
    Forgery Attack

    @ IDSECCONF
    2017
    (5) Session
    Replay
    Attack
    Pada serangan ini attacker
    mendengarkan pembicaraan
    yang dilakukan user dengan
    server, setelah itu menangkap
    token autentikasi berupa Session
    Token atau Session ID yang
    digunakan user. Attacker
    menggunakan token
    autentikasi untuk melakukan
    request ke server untuk
    mendapatkan access yang
    sama seperti user

    @ IDSECCONF
    2017
    (6)
    Session
    Fixation
    Session fixation
    memanfaatkan link yang
    berisi malicious code agar
    diakses oleh korban. Isi dari
    link tersebut biasanya
    berupa session id yang
    sebelumnya digunakan
    attacker untuk melakukan
    akses kedalam target
    server.

    @ IDSECCONF
    2017
    🞅 Dengan adanya layanan manajemen sesi, akan
    mempermudah user dalam melakukan aktifitas
    ketika mengakses sebuah web aplikasi
    🞅 Tetapi apabila manajemen sesi tidak di atur dengan
    baik, maka akan sangat beresiko bagi
    “kenyamanan” user
    Kesimpulan 🞅 Salah satu celah keamanan yang bisa
    mengancam layanan manajemen sesi adalah
    session hijacking.
    🞅 Beberapa variasi Teknik session hijacking dapat di
    kombinasikan dengan Teknik lain, seperti
    spoofing, social-engineering?

    @ IDSECCONF
    2017
    Terima
    Kasih
    Mochamad Akbar
    Anggamaulana @ IDSECCONF
    2017

    @ IDSECCONF
    2017

    Anda mungkin juga menyukai