"Analisis Celah Keamanan Manajemen Sesi terhadap Serangan Session Hijacking pada Web Aplikasi" - Mochamad Akbar Anggamaulana

1. Analisis Celah Keamanan Manajemen Sesi terhadap Serangan
Session Hijacking pada Web Aplikasi
Mochamad Akbar Anggamaulana
mochamad.akbar@gmail.com
Abstract
Manajemen sesi merupakan salah-satu layanan penting yang harus dikelola dengan baik, keamanan manajemen
sesi yang baik setidaknya dapat menunjang 2 prinsip dasar dalam konsep keamanan, yaitu confidentiality (kera-
hasian data) dan integrity (keaslian data). Kerentanan terhadap celah keamanan manajemen sesi bahkan berada
pada peringkat kedua didalam dokumen OWASP Top 10 - 2017 yang diterbitkan oleh OWASP Foundation. Salah-
satu serangan yang dapat dilakukan terhadap manajemen sesi adalah session hijacking. Terdapat fitur dasar dari
proses client-server yang dimanfaatkan oleh penyerang ketika melakukan serangan session hijacking, yaitu session
dan cookies. Serangan session hijacking biasanya terjadi di sisi server dalam bentuk pencurian session dan di sisi
client berupa pencurian cookies yang dimiliki oleh client. Pada makalah ini akan dibahas tentang pengetahuan
dasar dari manajemen sesi dan teknik apa saja yang bisa digunakan oleh penyerang ketika melakukan serangan
session hijacking terhadap celah keamanan manajemen sesi yang berada pada layer application didalam model
OSI layer.
1 Pendahuluan
Saat ini aplikasi menjadi bagian yang penting dalam menunjang sebagian besar aktifitas masyarakat, baik
itu aktifitas industri, pendidikan, pemerintahan bahkan transportasi tidak lepas dari adanya pengaruh aplikasi.
Karena teknologi, dalam hal ini aplikasi sudah menjadi sebuah alat bantu masyarakat untuk mendapatkan sebuah
efektifitas didalam setiap aktifitas yang akan dilakukan. Ketergantungan masyarakat terhadap aplikasi membuat
banyak aplikasi bermunculan dan diperuntukan untuk berbagai jenis perangkat.
Aplikasi berbasis web merupakan salahsatu jenis aplikasi yang umum digunakan saat ini. Karena penggunaan
aplikasi web cukup mudah (client-server, client cukup melakukan akses dengan web browser) dan nyaman (re-
sponsive, bisa diakses melalui berbagai jenis device) maka tidak jarang banyak pengguna aplikasi lebih memilih
menggunakan aplikasi web ketika ingin memperoleh sejumlah data/informasi.
Di sisi lain, potensi resiko keamanan aplikasi web yang dapat dimanfaatkan oleh orang yang tidak bertanggung
jawab. Sedikitnya menurut data dari Imperva pada tahun 2014 terdapat 44% peningkatan serangan pada website
dibandingkan tahun 2013. Sementara OWASP pada tahun 2017 merilis sepuluh celah keamanan paling berbahaya
didalam web aplikasi (Table 1: OWASP Top 10 - 2017) [1].

2. Table 1: OWASP Top 10 - 2017 [1]
No Celah Keamanan Deskripsi
1. Injection Injection Flaws bisa berupa in-
jeksi pada database SQL, ap-
likasi (RFQ/LFI)
2. Broken Authentication & Session Management Kesalahan didalam proses auten-
tikasi ataupun manajemen sesi
ketika login, contohnya session
hijacking
3. Cross - Site Scripting (XSS) Kesalahan fungsi didalam ap-
likasi tetapi hanya berefek pada
client side
4. Insecure Direct Object Reference Tidak disanitasinya beberapa
variabel sehingga penyerang bisa
melakukan access secara bebas
terhadap halaman-halaman sen-
sitive
5. Securing Misconfiguration Kesalahan konfigurasi, misalnya
allow dan disallow directory di-
dalam robots.txt
6. Sensitive Data Exposure Kesalahan konfigurasi didalam
pengaturan akses permission
data-data penting
7. Missing Function Level Access Control Kesalahan fungsi pada aplikasi
yang berakibat pada server side,
contohnya akses langsung ke-
halaman admin tanpa menggu-
nakan session
8. Cross-Site request Forgery Melakukan XSS yang berakibat
kedalam server side karena
berhubungan dengan session
client untuk melakukan eksekusi
9. Using Know Vulnerable Components Memanfaatkan kelemahan
beberapa komponen/plug in
bawaan aplikasi, contohnya
remote code execution pada
aplikasi framework spring di java
10. Uninvalid Redirects and Forwards Melakukan phising kepada kor-
ban agar mendapatkan informasi
sensitif (session/cookie)
Pada daftar yang dikeluarkan OWASP, Session Hijacking termasuk kedalam 2 teratas dari celah keamanan
yang paling memiliki dampak dan sering terjadi. Session Hijacking merupakan jenis serangan yang berfokus pada
manajemen sesi yang dapat dimanipulasi kepemilikannya, sehingga ketika session hijacking terjadi tidak jarang
korban tidak menyadarinya karena biasanya dikombinasikan juga dengan teknik serangan session hijacking man
2

3. in the middle attack dan spoofing. Biasanya session hijacking terjadi karena manajemen sesi tidak memberikan
batasan pengguna ketika melakukan akses kedalam sistem web aplikasi.
Terdapat dua alasan mengapa celah kemanan manajemen sesi tidak dapat dihilangkan selama pembuatan web
aplikasi. Pertama, developer web kadang tidak memiliki skill yang cukup dan tidak terbiasa dengan session fixation
atau serangan CSRF. kedua, melakukan check untuk menemukan potensi celah keamanan web aplikasi merupakan
hal yang membosankan, memakan waktu dan merupakan tugas yang menakutkan bagi developer aplikasi. Selain
itu developer web aplikasi harus melakukan testing secara keseluruhan dengan menyiapkan scenario malicious
script untuk melakukan simulasi serangan [2].
Manajemen sesi yang baik dan pengetahuan bagaimana proses serangan session hijacking terjadi akan dapat
meminimalisir serangan session hijacking pada web aplikasi. karenanya dibutuhkan kemampuan dari program-
mer/developer ketika akan membuat sebuah aplikasi web.
2 Tinjauan Pustaka
2.1 Keamanan Aplikasi Web
Keamanan piranti lunak merupakan proses mendesain, membangun dan melakukan uji coba sebuah piranti
lunak dengan memperhatikan keamanan di tiap bagiannya agar piranti lunak tersebut dapat menahan serangan
[3]. Pada umumnya ketika melakukan proses desain sistem pada sebuah aplikasi, developer atau programmer
sudah melakukan pengamanan sebagai tindakan pencegahan terhadap potensi resiko serangan pada aplikasi yang
akan dibangun dan diuji coba.
Terdapat tiga pilar keamanan piranti lunak yakni manajemen resiko, touchpoint dan pengetahuan. Dengan
menerapkan ketiganya secara terhadap dan ukuran yang sesuai maka program keamanan piranti lunak yang
standar dan hemat dapat terwujud [3]. Adapun tahan pembangunan piranti lunak yang aman dengan dasar tiga
pilar tersebut menurut Gary McGraw adalah sebagai berikut :
Figure 1: Tahapan SDLC [3]
3

4. Dari timeline yang menjadi referensi diatas, didapatkan bahwa tahap security requirements dilakukan ketika
sebelum dilakukan proses desain terhadap sebuah aplikasi. Maka dari itu, keamanan aplikasi web yang baik
ditentukan sebelum aplikasi masuk kedalam tahap desain.
2.2 Manajemen Sesi
.
Manajemen sesi adalah sebuah sistem yang digunakan oleh server ketika akan melakukan sebuah koneksi dengan
client agar informasi koneksi yang ada dapat tersimpan dan nantinya client bisa langsung terhubung dengan server
tanpa harus melakukan koneksi ulang. Dari sisi keamanan, manajemen sesi adalah sesuatu yang banyak orang
tidak sadar, padahal manajemen sesi merupakan metodologi keamanan penting untuk menggagalkan hacker dari
percobaan untuk masuk kedalam dan mengambil alih kontrol sesi [4].
Figure 2: Alur kerja session management [5]
Biasanya manajemen sesi diterapkan didalam sebuah proses autentikasi login, karena pada proses autentikasi
terdapat layanan yang membedakan antar user (misal : administrator dan guest user), informasi yang disimpan
biasanya berhubungan dengan akses kontrol dari client, beberapa media penyimanan didalam manajemen sesi
adalah session dan cookies. Media penyimpanan tersebut bisa terdapat didalam mesin dari client ataupun didalam
mesin dari server.
2.2.1 Session
Session adalah salah-satu media yang ada didalam manajemen sesi yang digunakan untuk menyimpan data
sementara kedalam sebuah variable (variable session) sehingga data tadi dapat diakses oleh client selama variabel
session tadi tidak dihilangkan ataupun dikosongkan. Nilai variabel disimpan didalam server. Jadi session relatif
lebih aman digunakan untuk menyimpan variabel nilai yang bersifat rahasia seperti username dan password pada
saat login.
1. Mengawali Session di PHP
Metode pengiriman variabel bisa menggunakan GET atau POST
s e s s i o n s t a r t ;
2. Penggunaan Variable Session di PHP
Setelah session dimulai maka variabel session sudah dapat mulai digunakan. Penggunaannya menggunakan
format $ SESSION[’nama variable’]. Setiap halaman yang menggunakan variable session harus mende-
larasikan kode diatas, agar dapat menggunakannya. Setelah itu baru kita bisa membuat nama session baru
sebagai berikut:
4

5. <?php
$ SESSION [ ’ Matkul ’ ] = ”KAMSOFT”;
?>
Session dengan nama Matkul akan dapat kita gunakan dalam sebuah page dengan cara sebagai berikut:
<?php
echo $ SESSION [ ’ Matkul ’ ] ;
?>
2.2.2 Cookies
Cookies atau Web Cookies adalah salah-satu media yang ada didalam manajemen sesi yang digunakan untuk
menyimpan data sementara kedalam sebuah variabel sehingga dapat diakses oleh client selama variabel tersebut
tidak dihilangkan ataupun dikosongkan. Berbeda dengan session yang nilai variabelnya disimpan di sisi server,
cookies menyimpan nilai variabel di sisi client.
Tempat penyimpanan cookies biasanya didalam sebuah browser aplikasi, sehingga dapat membantu website
memberitahu aktivitas yang dilakukan oleh client. Didalam sebuah website, fasilitas ”remember me” atau ”in-
gatkan saya selalu” yang ada ketika akan melakukan sebuah login biasanya memanfaatkan fungsi dari cookies.
Cookies dibagi kedalam dua jenis, yaitu :
1. Non persistent (session) cookies
Suatu cookie yang akan hilang sewaktu user menutup browser dan biasanya digunakan pada shopping carts
di toko belanja online untuk menelusuri item-item yang dibeli.
2. Persistent cookies
Diatur oleh situs-situs portal, banner / media iklan situs dan lainnya yang ingin tahu ketika user kembali
mengunjungi site mereka. (misal dengan cara memberikan opsi Remember Me saat login). File file ini
tersimpan di hardisk user.
2.3 Kelemahan Manajemen Sesi [4]
1. Weak SSL Cipher Support
Memilih algoritma enkripsi yang lemah dan mudah ditembus.
2. Information Submited Using the Get Method
Menggunakan metod GET untuk melakukan komunikasi data request dan response.
3. Self-Signed Certificates, Insecure Keys, and Password
Menandatangani sendiri sertifikat digital, kunci dan password yang tidak aman.
4. Username Harvesting Applied to Forgotten Password Process
Mendapatkan username dengan cara melakukan harvesting untuk selanjutnya memanfaatkan fitur forgotten
password.
5. Autocomplete Enable on Password Fields
Mengaktifkan autocomplete pada kolom password.
5

6. 6. Session IDs Nonrandom and Too Short
Session ID dihasilkan tidak random dan karakter yang dihasilkan terlalu pendek.
3 Pembahasan
3.1 Session hijacking
Session hijacking adalah sinonim dari pencurian session, dimana attacker melakukan intercept dan take over
secara sah komunikasi antara user dan host [6]. serangan session hijacking juga dikenal dengan sebagai serangan
cookie hijacking [7].
Definisi lain mengatakan bahwa session hijacking adalah kombinasi dari serangan sniffing dan spoofing yang
dilakukan terhadap proses komunikasi secara normal, attacker sebagai pihak ketiga ikut serta didalamnya. Atau
injeksi terhadap informasi tambahan yang berbasiskan TCP session dimana komunikasi berasal dari link yang
diakses secara langsung antara 2 sisi yang dilakukan oleh attacker [8].
Figure 3: Active Attack [6]
3.2 Session hijacking : Application Layer
Session hijacking merupakan serangan yang mungkin terjadi di 2 layer dalam OSI model, yaitu layer network
dan application. Pada application layer, attacker lebih memilih menghasilkan session baru dengan menangkap
session ID daripada melakukan hijacking terhadap session yang berlaku. Session ID sangat mudah ditangkap di
client side melalui URLs yang disimpan kedalam history file dari browser, file cookie disimpan didalam komputer
client atau form ada [9].
Session ID merupakan kode string yang digunakan oleh server untuk melakukan komunikasi data request-
response dengan user. Sebagai contoh, apabila user telah melakukan login kedalam sebuah web toko buku online,
lalu user membuka page lain dengan tab yang berbeda untuk mencari informasi tertentu, maka user tidak perlu lagi
login seperti awal ketika user melakukan akses ke web toko buku online. Itu terjadi karena server mengidentifikasi
dan mengenali Session ID yang telah diberikan kepada user ketika sebelumnya secara valid berhasil login.
Terdapat beberapa tempat dimana server menyimpan Session ID yang digunakan untuk berkomunikasi dengan
user [6], diantaranya :
6

7. 1. Embedded in a URL
Dalam hal ini, server menyimpan Session ID didalam sebuah URL,
contohnya http://kamsoft.co.id/dashboard.php?sesi=hay0805170800
Session ID yang dimasukan kedalam variabel sesi ketika user melakukan request URL dengan metode GET,
Session ID akan terus digunakan selama server melakukan verifikasi terhadap url yang diakses oleh user
2. Embedded as a Hidden Field
Session ID dimasukan kedalam sebuah variabel yang ada didalam sebuah form html,
Contohnya ¡input type=”hidden” name=”kamsoft” value=”hay0805170800” id=”kamsoft”¿
Pada poin ini, Session ID dikirimkan melaui metode POST dalam HTTP.
3. Cookies
Session ID dikirimkan oleh server dan dimasukan kedalam sebuah file yang berintegrasi dengan Web Browser.
File cookies berada di dalam lokal mesin.
Contohnya C:/program files/mozilla/profile/akbar/cookies.txt
Beberapa tipe serangan session hijacking yang dapat dilakukan di layer application. Beberapa contoh serangan
yang ada dilayer application diantaranya adalah session sniffing, predictable session token, MITM attack, MITB
attack, XSS attack, CSRF attack, session replay attack dan session fixation [6].
3.2.1 Session Sniffing
Session sniffing adalah aktifitas sniffing yang dilakukan untuk mendapatkan session aktif. Session ID atau session
token yang didapatkan digunakan hacker untuk mendapatkan akses terhadap server atau sumberdaya lain.
3.2.2 Predictable Session Token
Attacker bisa memprediksi Session ID yang dihasilkan dari algoritma yang lemah, attacker dapat melakukan
analisis terhadap tiap variabel yang ada didalam Session ID melalui pola yag ada, analisis yang dilakukan dapat
dilakukan secara manual dan otomatis menggunakan aplikasi semacam cryptanalytic. Data yang dikumpulkan
harus cukup banyak agar ketika dianalisis dapat ditemukan pola yang tepat sehingga attacker dapat memprediksi
Session ID selanjutnya, 2 langkah sederhana yang dilakukan ketika akan melakukan prediksi Session Token atau
Session ID diantaranya :
1. Captured
attacker melakukan pengumpulan beberapa Session ID untuk kebutuhkan analysis. Contohnya
http://kamsoft.co.id/dashboard.php?sesi=hay0805170800
http://kamsoft.co.id/dashboard.php?sesi=hay0805170802
http://kamsoft.co.id/dashboard.php?sesi=hay0805170804
2. Predicts
Dari Session ID yang dikumpulkan maka attacker melakukan analisis dalam kasus ini isi dari variabel sesi
yang dihasilkan. Contohnya
7

8. (a) hay : merupakan konstanta (biasanya username)
(b) 080517 : tanggal ketika diakses (tanggal 9 bulan 05 tahun 2017)
(c) 0800 : waktu ketika melakukan akses (jam 8 pagi)
Maka session ID berikutnya dapat diprediksi dari pola yang ada. Apabila attacker ingin melakukan akses ter-
hadap web tersebut maka attacker tinggal menyesuaikan Session ID dengan tanggal dan waktu ketika mengakses.
3.2.3 Man-In-The-Middle Attack
Pada serangan Man-In-The-Middle Attack, attacker melakukan intercept pesan yang ada dalam proses komunikasi
antara korban dengan server (web server). Dalam kasus ini secara spesifik attacker melakukan intercept HTTP
protocol sebagai target. Terdapat 2 teknik yang dilakukan, yaitu :
1. Client-to-attacker connection
2. attacker-to-Server connection
Dalam proses serangan, attacker membaca, melakukan modifikasi dan selanjutnya mengirimkan pesan yang
telah dipalsukan ke setiap target yang sebelumnya komunikasinya telah di intercept. Secara sederhana, komunikasi
yang terjadi antara client dan server dilakukan melalui attacker.
Figure 4: Man-in-the-Middle Attack [10]
3.2.4 Man-In-The-Browser Attack
Terdapat tiga variasi serangan yang adapat dilakukan, yaitu Cross-Site Scripting (XSS) Attack, Cross-Site request
Forgery (CSRF) Attack dan Trojan.
1. Cross-Site Script Attack
Merupakan tipe serangan yang terjadi ketika attacker mengirimkan malicious javascript didalam sebuah
link yang selanjutnya diakses oleh korban sehingga menampilkan cookie aktif yang sedang digunakan oleh
8

9. korban. Dengan teknik tambahan, cookie yang ada dapat digunakan oleh attacker sehingga memiliki cookie
yang sama dengan korban. Contoh sederhana dari link yang berisi malicious code javascript yang diterima
korban sebagai berikut :
http://kamsoft.co.id/hay.php?xss=¡script¿alert(document.cookie)¡/script¿
Figure 5: Cross-site Scripting Attack [10]
2. Cross-Site request Forgery Attack
Serupa dengan serangan XSS, CSRF juga terjadi ketika korban melakukan akses terhadap link yang berisi
malicious code. Keadaan yang membedakan adalah adanya teknik tambahan, dimana attacker sebelumnya
menempatkan link yang berisi malicious code kedalam website milik attacker, sehingga korban dipaksa
mengirimkan cookies dari Session yang aktif kedalam website milik attacker, untuk selanjutnya attacker
dapat menggunakan cookie serupa untuk melakukan komunikasi yang sah dengan target website
Figure 6: Cross-site request Forgery Attack [10]
3. Trojan
Berbeda dengan variasi serangan diatas, serangan dengan trojan mengharuskan web browser korban terin-
stall malicious code didalam konfigurasinya. Sehingga attacker melakukan secara passif dan aktif. Dikatakan
9

10. pasif karena attacker harus menunggu korban melakukan akses terhadap website yang telah di targetkan,
selain itu secara aktif attacker harus mengarahkan korban untuk melakukan akses terhadap website yang
telah ditargetkan dan menginstall malicious code kedalam web browser yang digunakan oleh korban.
3.2.5 Session Replay Attack
Pada serangan ini attacker mendengarkan pembicaraan yang dilakukan user dengan server, setelah itu menangkap
token autentikasi berupa Session Token atau Session ID yang digunakan user. Attacker menggunakan token
autentikasi untuk melakukan request ke server untuk mendapatkan access yang sama seperti user.
Figure 7: Session Replay Attack [10]
3.2.6 Session Fixation
Dalam serangan session fixation, attacker menetapkan session ID user sebelum user tersebut melakukan login
kedalam server target [11]. Serupa dengan XSS. Session fixation memanfaatkan link yang berisi malicious code
agar diakses oleh korban. Isi dari link tersebut biasanya berupa session id yang sebelumnya digunakan attacker
untuk melakukan akses kedalam target server.
Figure 8: Simple Session Fixation Attack on URL Based [11]
Gambar diatas menunjukan bahwa sebelumnya attacker melakukan koneksi dengan server target untuk men-
dapatkan session id, untuk setelahnya di sah kan oleh korban sebagai user yang valid didalam server target.
10

11. Sehingga dalam aspek keabsahan validasi data, maka attacker termasuk kedalam user sah yang melakukan vali-
dasi terhadap server.
Figure 9: Session Fixation Scenario [10]
4 Kesimpulan
Manajemen sesi merupakan salah-satu layanan yang dapat mempermudah client melakukan koneksi kepada
server karena dengan memanfaatkan fitur session dan cookies. Client dapat dengan mudah melakukan koneksi
tanpa harus melakukan pengulangan login ataupun segala request yang berkaitan dengan penyimpanan data
sementara yang dilakukan oleh client.
Kemudahan client melakukan komunikasi terhadap server dengan memanfaatkan session dan cookies juga
menjadi celah bagi penyerang untuk memanfaatkan kemudahan tersebut untuk melakukan komunikasi dengan
server secara ilegal atau tidak sah. Serangan yang dilakukan untuk mendapatkan komunikasi dengan server
tersebut salah-satunya dapat dengan cara melakukan session hijacking.
Beberapa teknik session hijacking dapat di aplikasikan penyerang untuk mendapatkan sesi komunikasi yang
terjadi. variasi serangan yang dilakukan juga dapat dikombinasikan dengan beberapa teknik lain seperti spoofing
ataupun social-engineering.
References
[1] D. Wichers, “Owasp top 10 - 2017,” tech. rep., OWASP Foundation, 2017.
[2] Y. Takamatsu, Y. Kosuga, and K. Kono, “Automated detection of session management vulnerabilities in
web applications,” in 2012 Tenth Annual International Conference on Privacy, Security and Trust, IEEE,
jul 2012.
[3] G. R. McGraw, Software Security. Pearson Education (US), 2006.
[4] R. Lepofsky, The Manager’s Guide to Web Application Security. Apress, 2014.
11

12. [5] R. Siles, “Session management cheat sheet,” tech. rep., OWASP Foundation, 2017.
[6] S.-P. Oriyano, CEH: Certified Ethical Hacker Version 8 Study Guide. Sybex, 2014.
[7] S. K. Chung, O. C. Yee, M. M. Singh, and R. Hassan, “SQL injections attack and session hijacking on e-
learning systems,” in 2014 International Conference on Computer, Communications, and Control Technology
(I4CT), IEEE, sep 2014.
[8] Y. Wang and J. Chen, “Hijacking spoofing attack and defense strategy based on internet TCP sessions,” in
2013 2nd International Symposium on Instrumentation and Measurement, Sensor Network and Automation
(IMSNA), IEEE, dec 2013.
[9] V. Jain, D. R. Sahu, and D. S. Tomar, “Session hijacking: Threat analysis and countermeasures,” Interna-
tional Conference on Futuristic Trends in Computational analysis and Knowledge management, 2015.
[10] EC-Council, “Ethical hacking and countermeasures v8,” 2017.
[11] M. Kolek, “Session fixation vulnerability in web-based applications,” Across Security, 2002.
12