"Analisis Celah Keamanan Manajemen Sesi terhadap Serangan Session Hijacking pada Web Aplikasi" - Mochamad Akbar Anggamaulana

1. Analisis Celah
Keamanan Manajemen
Sesi terhadap Serangan
Session Hijacking pada
Web Aplikasi
IDSECCONF 2017
Mochamad Akbar Anggamaulana

2. Who Am I?
 My name is Mochamad Akbar Anggamaulana
 Occupation
 Echoers
 Student @ Institut Teknologi Bandung
 Freelancer
 Indipendent IT Researcher
 Junior IT Security @ softScheck Pte Ltd Singapore
 Contact
 mochamad.akbar@gmail.com

3. Issue
Application functions related to authentication and
session management are often implemented
incorrectly, allowing attackers to compromise
passwords, keys, or session tokens, or to exploit
other implementation flaws to assume other users’
identities temporarily or permanently.
OWASP Top 10 – 2017
@ IDSECCONF 2017

4. Tinjauan Pustaka
Keamanan piranti lunak
merupakan proses mendesain,
membangun dan melakukan uji
coba sebuah piranti lunak
dengan memperhatikan
keamanan di tiap bagiannya
agar piranti lunak tersebut
dapat menahan serangan
@ IDSECCONF 2017
Tahapan SDLC (Gary McGraw)

5. Tinjauan Pustaka
Manajemen sesi adalah sebuah
sistem yang digunakan oleh
server ketika akan melakukan
sebuah koneksi dengan client
agar informasi koneksi yang ada
dapat tersimpan dan nantinya
client bisa langsung terhubung
dengan server tanpa harus
melakukan koneksi ulang
@ IDSECCONF 2017
Alur kerja Session Management (OWASP)

6. Session
Session adalah salah-satu media yang ada didalam
manajemen sesi yang digunakan untuk menyimpan
data sementara kedalam sebuah variable (variable
session) sehingga data tadi dapat diakses oleh client
selama variable session tadi tidak dihilangkan
(destroy) ataupun dikosongkan (unset).
@ IDSECCONF 2017

7. Cookies
Cookies atau Web Cookies adalah salah-satu media
yang ada didalam manajemen sesi yang digunakan
untuk menyimpan data sementara kedalam sebuah
variabel sehingga dapat diakses oleh client selama
variabel tersebut tidak dihilangkan ataupun
dikosongkan. Berbeda dengan session yang nilai
variabelnya disimpan di sisi server, cookies
menyimpan nilai variabel di sisi client.
Jenis dari cookies :
 Non Presistent (Session) Cookies
 Presistent Cookies
@ IDSECCONF 2017

8. Cookies
@ IDSECCONF 2017

9. Weak Session
Management
 Weak SSL Chipers Support
 Information Submited Using the GET Method
 Self-Signed Certificates, Insecure Keys, and
Passwords
 Username Harvesting Applied to Forgotten
Password Process
 Autocomplete Enabled on Password Fields
 Session IDs Nonrandom and Too Short
@ IDSECCONF 2017
The Manager’s Guide to Web Application Security

10. Session
Hijacking
@ IDSECCONF 2017
Session hijacking adalah sinonim
dari pencurian session, dimana
attacker melakukan intercept
dan take over secara sah
komunikasi antara user dan host.
 Network Layer
 Application Layer
CEH: Certified Ethical Hacker Version 8 Study Guide

11. Session
Hijacking on
Application
Layer
 Session ID merupakan kode string yang
digunakan oleh server untuk melakukan
komunikasi data request - response dengan
user/client
 Place?
 Embedded in a URL
 Embedded as a Hidden Field
 Cookies
@ IDSECCONF 2017

12. (1) Session Sniffing
@ IDSECCONF 2017
Session sniffing adalah
aktifitas sniffing yang
dilakukan untuk
mendapatkan session aktif.
Session ID atau session token
yang didapatkan digunakan
hacker untuk mendapatkan
akses terhadap server atau
sumberdaya lain.

13. (2) Predictable Session Token
Attacker melakukan prediksi session ID yang dihasilkan dari algoritma yang lemah, attacker
dapat melakukan analisis terhadap variable session dari pola yang ada.
1. Captured
http://kamsoft.co.id/dashboard.php?sesi=hay0805170800
http://kamsoft.co.id/dashboard.php?sesi=hay0805170802
http://kamsoft.co.id/dashboard.php?sesi=hay0805170804
2. Predicts
(a) hay : merupakan konstanta (biasanya username)
(b) 080517 : tanggal ketika diakses (tanggal 9 bulan 05 tahun 2017)
(c) 0800 : waktu ketika melakukan akses (jam 8 pagi)
@ IDSECCONF 2017

14. (3) Man-In-The-
Middle Attack
@ IDSECCONF 2017
Attacker membaca,
melakukan modifikasi dan
selanjutnya mengirimkan
pesan yang telah dipalsukan
ke setiap target yang
sebelumnya komunikasinya
telah di intercept. Secara
sederhana, komunikasi yang
terjadi antara client dan
server dilakukan melalui
attacker.
 Client to Attacker Connection
 Attacker to Server Connection

15. (4) Man-In-
The-Browser
Attack
 Cross-Site Script Attack
 Cross-Site request Forgery Attack
 Trojan/Unwanted Program
@ IDSECCONF 2017

16. Cross-Site Script
Attack
@ IDSECCONF 2017
Merupakan tipe serangan yang
terjadi ketika attacker
mengirimkan malicious javascript
didalam sebuah link yang
selanjutnya diakses oleh korban
sehingga menampilkan cookie
aktif yang sedang digunakan oleh
korban.

17. Cross-Site request
Forgery Attack
@ IDSECCONF 2017

18. (5) Session
Replay Attack
@ IDSECCONF 2017
Pada serangan ini attacker
mendengarkan pembicaraan
yang dilakukan user dengan
server, setelah itu menangkap
token autentikasi berupa Session
Token atau Session ID yang
digunakan user. Attacker
menggunakan token autentikasi
untuk melakukan request ke
server untuk mendapatkan
access yang sama seperti user

19. (6) Session
Fixation
@ IDSECCONF 2017
Session fixation
memanfaatkan link yang
berisi malicious code agar
diakses oleh korban. Isi dari
link tersebut biasanya berupa
session id yang sebelumnya
digunakan attacker untuk
melakukan akses kedalam
target server.

20. Kesimpulan
 Dengan adanya layanan manajemen sesi, akan
mempermudah user dalam melakukan aktifitas ketika
mengakses sebuah web aplikasi
 Tetapi apabila manajemen sesi tidak di atur dengan
baik, maka akan sangat beresiko bagi “kenyamanan”
user
 Salah satu celah keamanan yang bisa mengancam
layanan manajemen sesi adalah session hijacking.
 Beberapa variasi Teknik session hijacking dapat di
kombinasikan dengan Teknik lain, seperti spoofing,
social-engineering?
@ IDSECCONF 2017

21. Terima Kasih
Mochamad Akbar Anggamaulana
@ IDSECCONF 2017
@ IDSECCONF 2017