2. Who Am I?
My name is Mochamad Akbar Anggamaulana
Occupation
Echoers
Student @ Institut Teknologi Bandung
Freelancer
Indipendent IT Researcher
Junior IT Security @ softScheck Pte Ltd Singapore
Contact
mochamad.akbar@gmail.com
3. Issue
Application functions related to authentication and
session management are often implemented
incorrectly, allowing attackers to compromise
passwords, keys, or session tokens, or to exploit
other implementation flaws to assume other users’
identities temporarily or permanently.
OWASP Top 10 – 2017
@ IDSECCONF 2017
4. Tinjauan Pustaka
Keamanan piranti lunak
merupakan proses mendesain,
membangun dan melakukan uji
coba sebuah piranti lunak
dengan memperhatikan
keamanan di tiap bagiannya
agar piranti lunak tersebut
dapat menahan serangan
@ IDSECCONF 2017
Tahapan SDLC (Gary McGraw)
5. Tinjauan Pustaka
Manajemen sesi adalah sebuah
sistem yang digunakan oleh
server ketika akan melakukan
sebuah koneksi dengan client
agar informasi koneksi yang ada
dapat tersimpan dan nantinya
client bisa langsung terhubung
dengan server tanpa harus
melakukan koneksi ulang
@ IDSECCONF 2017
Alur kerja Session Management (OWASP)
6. Session
Session adalah salah-satu media yang ada didalam
manajemen sesi yang digunakan untuk menyimpan
data sementara kedalam sebuah variable (variable
session) sehingga data tadi dapat diakses oleh client
selama variable session tadi tidak dihilangkan
(destroy) ataupun dikosongkan (unset).
@ IDSECCONF 2017
7. Cookies
Cookies atau Web Cookies adalah salah-satu media
yang ada didalam manajemen sesi yang digunakan
untuk menyimpan data sementara kedalam sebuah
variabel sehingga dapat diakses oleh client selama
variabel tersebut tidak dihilangkan ataupun
dikosongkan. Berbeda dengan session yang nilai
variabelnya disimpan di sisi server, cookies
menyimpan nilai variabel di sisi client.
Jenis dari cookies :
Non Presistent (Session) Cookies
Presistent Cookies
@ IDSECCONF 2017
9. Weak Session
Management
Weak SSL Chipers Support
Information Submited Using the GET Method
Self-Signed Certificates, Insecure Keys, and
Passwords
Username Harvesting Applied to Forgotten
Password Process
Autocomplete Enabled on Password Fields
Session IDs Nonrandom and Too Short
@ IDSECCONF 2017
The Manager’s Guide to Web Application Security
10. Session
Hijacking
@ IDSECCONF 2017
Session hijacking adalah sinonim
dari pencurian session, dimana
attacker melakukan intercept
dan take over secara sah
komunikasi antara user dan host.
Network Layer
Application Layer
CEH: Certified Ethical Hacker Version 8 Study Guide
11. Session
Hijacking on
Application
Layer
Session ID merupakan kode string yang
digunakan oleh server untuk melakukan
komunikasi data request - response dengan
user/client
Place?
Embedded in a URL
Embedded as a Hidden Field
Cookies
@ IDSECCONF 2017
12. (1) Session Sniffing
@ IDSECCONF 2017
Session sniffing adalah
aktifitas sniffing yang
dilakukan untuk
mendapatkan session aktif.
Session ID atau session token
yang didapatkan digunakan
hacker untuk mendapatkan
akses terhadap server atau
sumberdaya lain.
13. (2) Predictable Session Token
Attacker melakukan prediksi session ID yang dihasilkan dari algoritma yang lemah, attacker
dapat melakukan analisis terhadap variable session dari pola yang ada.
1. Captured
http://kamsoft.co.id/dashboard.php?sesi=hay0805170800
http://kamsoft.co.id/dashboard.php?sesi=hay0805170802
http://kamsoft.co.id/dashboard.php?sesi=hay0805170804
2. Predicts
(a) hay : merupakan konstanta (biasanya username)
(b) 080517 : tanggal ketika diakses (tanggal 9 bulan 05 tahun 2017)
(c) 0800 : waktu ketika melakukan akses (jam 8 pagi)
@ IDSECCONF 2017
14. (3) Man-In-The-
Middle Attack
@ IDSECCONF 2017
Attacker membaca,
melakukan modifikasi dan
selanjutnya mengirimkan
pesan yang telah dipalsukan
ke setiap target yang
sebelumnya komunikasinya
telah di intercept. Secara
sederhana, komunikasi yang
terjadi antara client dan
server dilakukan melalui
attacker.
Client to Attacker Connection
Attacker to Server Connection
16. Cross-Site Script
Attack
@ IDSECCONF 2017
Merupakan tipe serangan yang
terjadi ketika attacker
mengirimkan malicious javascript
didalam sebuah link yang
selanjutnya diakses oleh korban
sehingga menampilkan cookie
aktif yang sedang digunakan oleh
korban.
18. (5) Session
Replay Attack
@ IDSECCONF 2017
Pada serangan ini attacker
mendengarkan pembicaraan
yang dilakukan user dengan
server, setelah itu menangkap
token autentikasi berupa Session
Token atau Session ID yang
digunakan user. Attacker
menggunakan token autentikasi
untuk melakukan request ke
server untuk mendapatkan
access yang sama seperti user
19. (6) Session
Fixation
@ IDSECCONF 2017
Session fixation
memanfaatkan link yang
berisi malicious code agar
diakses oleh korban. Isi dari
link tersebut biasanya berupa
session id yang sebelumnya
digunakan attacker untuk
melakukan akses kedalam
target server.
20. Kesimpulan
Dengan adanya layanan manajemen sesi, akan
mempermudah user dalam melakukan aktifitas ketika
mengakses sebuah web aplikasi
Tetapi apabila manajemen sesi tidak di atur dengan
baik, maka akan sangat beresiko bagi “kenyamanan”
user
Salah satu celah keamanan yang bisa mengancam
layanan manajemen sesi adalah session hijacking.
Beberapa variasi Teknik session hijacking dapat di
kombinasikan dengan Teknik lain, seperti spoofing,
social-engineering?
@ IDSECCONF 2017