Manajemen Proyek Perangkat Lunak (Pert9-10) : Manajemen RisikoMutmainnah Muchtar
Kuliah Manajemen Proyek Perangkat Lunak Jurusan Teknik Informatika UHO Kendari (Pert 9-10)
Materi:
Apa itu risiko?
Apa itu risiko proyek?
Manajemen Risiko Proyek Perangkat Lunak
Perhitungan risiko secara kualitatif dan kuantitatif
Analogi Proyek Perangkat Lunak sbg Kapal Titanic
Materi ini membahas tentang konsep dasar sequence diagram. Dengan adanya materi ini diharapkan para pembaca dapat mengetahui dan memahami tentang simbol dan pembuatan sequence diagram, serta mampu menyusun sequence diagram
(2011) Artikel tentang anatomi hacker dalam melakukan hacking. Terdiri dari beberapa tahap (Footprinting, Scanning, Enumeration, Gaining Access, Escalating Privilege, Pilfering, Covering Tracks, Creating Backdoors, Denial of Service). Artikel ini dibuat terpadu dan komprenehsif dengan tambahan contoh real hacking yang terjadi dalam setiap step nya.
Manajemen Proyek Perangkat Lunak (Pert9-10) : Manajemen RisikoMutmainnah Muchtar
Kuliah Manajemen Proyek Perangkat Lunak Jurusan Teknik Informatika UHO Kendari (Pert 9-10)
Materi:
Apa itu risiko?
Apa itu risiko proyek?
Manajemen Risiko Proyek Perangkat Lunak
Perhitungan risiko secara kualitatif dan kuantitatif
Analogi Proyek Perangkat Lunak sbg Kapal Titanic
Materi ini membahas tentang konsep dasar sequence diagram. Dengan adanya materi ini diharapkan para pembaca dapat mengetahui dan memahami tentang simbol dan pembuatan sequence diagram, serta mampu menyusun sequence diagram
(2011) Artikel tentang anatomi hacker dalam melakukan hacking. Terdiri dari beberapa tahap (Footprinting, Scanning, Enumeration, Gaining Access, Escalating Privilege, Pilfering, Covering Tracks, Creating Backdoors, Denial of Service). Artikel ini dibuat terpadu dan komprenehsif dengan tambahan contoh real hacking yang terjadi dalam setiap step nya.
PKM Karsa Cipta
Mevici Dianresti(1317051040)
Universitas Lampung
Jurusan Ilmu Komputer
2014
Aplikasi Pelestarian Budaya Lampung(APEL BUDALAM) Berbasis Android
PKM Karsa Cipta
Mevici Dianresti(1317051040)
Universitas Lampung
Jurusan Ilmu Komputer
2014
Aplikasi Pelestarian Budaya Lampung(APEL BUDALAM) Berbasis Android
SI&PI, RYAN JULIAN, HAPZI ALI, KONSEP DASAR KEAMANAN INFORMASI PEMAHAMAN SERA...Ryan Julian
SI&PI, RYAN JULIAN, HAPZI ALI, KONSEP DASAR KEAMANAN INFORMASI PEMAHAMAN SERANGAN, TIPE-TIPE PENGENDALIAN, PRINSIP-PRINSIP THE FIVE TRUST SERVICE UNTUK KEANDALAN SISTEM, 2019
Cloud Managed Router merupakan hasil dari kombinasi antara perangkat router konvensional dengan teknologi cloud management, yang dikembangkan agar memudahkan pengguna untuk dapat mengatur perangkat router dari jarak jauh. Namun tentu saja dengan penerapan yang kurang tepat, maka hal ini bisa dimanfaatkan oleh orang yang tidak bertanggung jawab, bahkan dapat beresiko akses perangkat router diambil alih. Pada topik ini saya akan sedikit menceritakan bagaimana resiko tersebut bisa terjadi.
idsecconf2023 - Neil Armstrong - Leveraging IaC for Stealthy Infrastructure A...idsecconf
Kesiapan infrastruktur terkadang menjadi kendala dalam melaksanakan red team exercise secara internal. Guna memperoleh hasil yang optimal terdapat beberapa strong points yang perlu diadopsi dalam pengembangan infrastruktur yakni rapid deployment, stealth, dan scalability. Melalui Infrastructure as code (IaC) yang dapat mendukung proses automation infrastruktur red team, operator dapat mereduksi waktu deployment dengan komponen yang bersifat disposable per engagement. Infrastruktur terbagi menjadi 4 segmen yakni segmen network memanfaatkan WireGuard yang disederhanakan melalui Headscale “Zero Config”. Segmen C2 dan Segmen Phishing merupakan core sections. Segmen SIEM bertujuan mengagregasi dan memproses log dari berbagai komponen seperti reverse proxy pada redirector ataupun C2 server. Manajemen multi-cloud environment memanfaatkan Terraform dengan provisioning yang di-handle menggunakan Ansible. Python sebagai wrapper kedua platform sehingga penggunaan tetap sederhana. Operator dapat secara fleksibel mendeskripsikan segmen yang hendak di deploy melalui sebuah YAML file.
Dalam dunia keamanan siber, sinergi antara berbagai proses memiliki peran yang sangat penting. Salah satu proses atau framework yang tengah menjadi sorotan dan menarik perhatian luas adalah Detection Engineering. Proses Detection Engineering ini bertujuan untuk meningkatkan struktur dan pengorganisasian dalam pembuatan detection use case atau rules di Security Operation Center (SOC). Detection Engineering bisa dikatakan masih baru dalam dunia keamanan siber, sehingga terdapat banyak peluang untuk membuat keseluruhan prosesnya menjadi lebih baik. Salah satu hal yang masih terlupakan adalah integrasi antara proses Detection Engineering dan Threat Modeling. Biasanya, Threat Modeling lebih berfokus pada solusi pencegahan dan mitigasi resiko secara langsung dan melupakanan komponen deteksi ketika pencegahan dan mitigasi tersebut gagal dalam menjalankan fungsinya. Dalam makalah ini, kami memperkenalkan paradigma baru dengan mengintegrasikan Detection Engineering ke dalam proses Threat Modeling. Pendekatan ini menjadikan Detection sebagai langkah proaktif tambahan, yang dapat menjadi lapisan pertahanan ekstra ketika kontrol pencegahan dan mitigasi akhirnya gagal dalam menghadapi ancaman sesungguhnya.
idsecconf2023 - Rama Tri Nanda - Hacking Smart Doorbell.pdfidsecconf
Smart doorbell atau bel pintar telah menjadi populer dalam sistem keamanan rumah pintar. Namun, banyak dari perangkat ini masih menggunakan protokol yang tidak aman untuk berkomunikasi, protokol yang rentan terhadap serangan keamanan seperti jamming, sniffing dan replay attack. Penelitian ini bertujuan untuk menganalisis kelemahan penggunaan protokol komunikasi pada smart doorbell, serta menginvestigasi potensi pemanfaatan Software Defined Radio (SDR) dan modul arduino dalam mengamati komunikasi gelombang elektronik pada frekuensi 433 MHz. Selain itu penelitian ini ditujukan untuk mengidentifikasi potensi risiko yang dihadapi oleh pengguna pengkat IoT, serta memberikan pandangan tentang perlindungan yang lebih baik.
Modern organizations are facing the severe challenge of effectively countering threats and mitigating Indicators of Compromise (IOCs) within their network environments. The increasing complexity and volume of cyber threats has highlighted the urgency of building robust mechanisms to block specific IOCs independently. While some organizations have adopted Endpoint Detection and Response (EDR) systems, these solutions often have limitations and require manual processes to collect and examine IOCs from multiple sources. These operational barriers prevent organizations from achieving a proactive and efficient defense posture, an obstacle that is particularly important due to the critical role that IOC blocking plays in containing the spread of threats and limiting potential damage. Hence, the need for a solution that orchestrates automated IOC blocking, utilizing tools such as AlienVault Open Threat Exchange (OTX), VirusTotal, CrowdStrike, and Slack. In this presentation, we examine the importance of automated IOC blocking and its potential to strengthen network security, while highlighting the critical role that these tools play in mitigating evolving cyber threats.
idsecconf2023 - Aan Wahyu - Hide n seek with android app protections and beat...idsecconf
Pembahasan ini bertujuan untuk memberikan edukasi tentang mekanisme perlindungan yang diterapkan pada aplikasi android seperti root detection, ssl pinning, anti emulation, tamper detection dan bagaimana teknik yang digunakan untuk melakukan mekanisme bypass proteksi yang diimplementasikan dengan bantuan reverse engineering menggunakan tool seperti frida, ghidra, objection, magisk, dan sebagainya.
idsecconf2023 - Satria Ady Pradana - Launch into the Stratus-phere Adversary ...idsecconf
Adversary Simulation pada lingkungan cloud memiliki karakteristik unik sehingga memerlukan pendekatan khusus. Stratus menawarkan fleksibilitas dalam melakukan simulasi attack secara native pada lingkungan cloud. Presentasi ini akan memberikan penjelasan tentang penggunaan Stratus dalam adversary simulation dan bagaimana mengembangkan skenario khusus sesuai kebutuhan.
Ali - The Journey-Hack Electron App Desktop (MacOS).pdfidsecconf
Semakin berkembangnya teknologi di aplikasi Desktop terdapat celah keamanan yang dapat menyebabkan dampak langsung atau tidak langsung pada kerahasiaan, Integritas Data yang di bangun menggunakan Framework dari Electron khusus nya aplikasi Desktop di Sistem Operasi MAC. Dalam materi yang di persentasikan akan membahas celah keamanan Security Misconfiguration,RCE,Code Injection, Bypass File Quarantine dan juga bagaiman cara intercept Aplikasi Electron Desktop di system operasi macOS
Muh. Fani Akbar - Infiltrate Into Your AWS Cloud Environment Through Public E...idsecconf
Amazon Web Service (AWS) menjadi pemain besar dalam industri provider cloud, AWS menawarkan berbagai macam layanan yang mempermudah pengguna untuk operasional dan manajemen administrasi cloud computing. Dengan banyaknya layanan yang disediakan oleh Amazon Web Service membuat pengguna lupa akan keamanan dari service yang digunakan, karena bukan hanya Simple Storage Service (S3) saja yang bisa secara tidak sengaja mengekspos data sentitif seperti kredensial Database, SSH Private Key, Source code aplikasi atau bahkan data pribadi lain yang bersifat rahasia. Terdapat banyak service yang secara tidak sengaja terekspos ke public seperti EBS Snapshot, RDS Snapshot, SSM Document, SNS topic dan sebagainya. Malicious Actor bisa memanfaatkan Public shared atau exposed untuk melakukan Initial Access ke lingkungan Amazon Web Service pengguna lalu melakukan eksfiltrasi data internal yang rahasia.
Rama Tri Nanda - NFC Hacking Hacking NFC Reverse Power Supply Padlock.pdfidsecconf
Near Field Communication (NFC) saat ini adalah teknologi yang umumnya di gunakan untuk media pembayaran serta akses kontrol untuk keamanan ruangan dan gedung. Tidak terbatas untuk hal itu saja, teknologi NFC juga kerap di implementasikan untuk perangkat IoT. Beberapa perangkat menggunakan NFC tag untuk menyimpan informasi guna sinkronisasi dengan perangkat smartphone. Penggunaan teknologi NFC awalnya dianggap aman karna mengharuskan alat baca dengan tag berada dalam poisisi yang sangat dekat. Sehingga dianggap sulit untuk melakukan penyadapan informasinya. Seiring waktu banyak penilitian mengungkapkan bahwa komunikasi ISO 1443-3 ini bisa di intip dan di terjemahkan ke dalam bentuk perintah serta respon aslinya. Proxmark3 adalah salah satu alat yang dikembangkan untuk keperluan tersebut. Namun ada kondisi dimana perangkat proxmark tidak dapat di fungsikan maksimal lantaran berkurangnya sensititifitas pembaca dan tag ketika ada objek berada diantara keduanya. Di paper ini saya ingin menyajikan hasil penelitian saya tentang penggunaan Dynamic Instrumentation Frida untuk memantau penggunaan modul java nfc dalam platform Android dan menggunakannya untuk melakukan lockpicking pada gembok pintar berbasis NFC.
Arief Karfianto - Proposed Security Model for Protecting Patients Data in Ele...idsecconf
This paper is a documentation of proposed security management for Electronic Health Records which includes security planning and policy, security program, risk management, and protection mechanism. Planning and policy are developed to provide a basic principle of security management at a hospital. The security program in this document includes Risk-Adaptable Access Control (RAdAC) and the implementation of security education, training and awareness (SETA). Regarding risk management, we perform risk identification, inventory of assets, information assets classification, and information assets value assessment, threat identification, and vulnerability assessment. For protection mechanism, we propose biometrics and signature as the authentication methods. The use of firewalls, intrusion detection system and encrypted data transmission is also suggested for securing data, application and network.
Nosa Shandy - Clickjacking That Worthy-Google Bug Hunting Story.pdfidsecconf
Menceritakan pengalaman bug hunting kerentanan clickjacking pada beberapa produk Google dan membahas beberapa teknik untuk melakukan bypass terhadap kerentanan tersebut. Serta menjelaskan clickjacking yang benar berdasarkan pengalaman pribadi
Baskoro Adi Pratomo - Evaluasi Perlindungan Privasi Pengguna pada Aplikasi-Ap...idsecconf
Pelanggaran privasi merupakan suatu hal yang sering ditemui dewasa ini. Salah satu penyebab pelanggaran privasi adalah adanya data privat milik pengguna yang dikirimkan pada server milik aplikasi tanpa seizin pengguna atau adanya pengumpulan data tertentu tanpa izin. Pada penelitian ini, kami menganalisis aplikasi-aplikasi yang didapatkan dari Google Play Store Indonesia untuk dicari apakah ada data privat milik pengguna yang dilanggar privasinya. Penelitian ini menggunakan tiga jenis metode yang utamanya berbasis static analysis; pendekatan reverse-engineering dengan static analysis untuk melihat apakah ada data yang berpotensi mengganggu privasi pengguna, analisis perizinan dan tracker yang dimiliki oleh aplikasi untuk melihat apakah perizinan dan tracker yang dimiliki oleh aplikasi memang tepat sesuai dengan use-case dari aplikasi tersebut, dan analisis regulasi data dengan mengambil data mengenai keamanan data yang diberikan developer ke Google Play Store. Hasil studi menunjukkan bahwa ada beberapa aplikasi yang memang mengambil data privat pengguna yang tidak relevan dengan use-case aplikasi dan mengirimnya ke server milik aplikasi dan pihak ketiga
Utian Ayuba - Profiling The Cloud Crime.pdfidsecconf
Cloud service is often part of broader strategic initiatives, principally digital transformation (DX) and cloud-first. Despite the continued rapid adoption of cloud services, security remains a crucial issue for cloud users. A majority of organizations confirm they are at least moderately concerned about cloud security. However, there is still a gap between using the cloud and the implementation of cloud security by organizations, so retains the rate of cloud crime high. Eliminating or narrowing the gap is necessary so that organizations can continue to take advantage of the cloud securely. Understanding cloud crime would aid in both cloud crime prevention and protection. The purpose of this presentation is to identify how cloud security incidents can occur from both attacker and victim sides. Organizations can use this presentation's results as a reference to develop or improve cloud security programs and eliminate or narrow the gap between cloud utilization and cloud security implementation.
Proactive cyber defence through adversary emulation for improving your securi...idsecconf
Organization using Adversary Emulation plan to develop an attack emulation and/or simulation and execute it against enterprise infrastructure. These activities leverage real-world attacks and TTPs by Threat Actor, so you can identify and finding the gaps in your defense before the real adversary attacking your infrastructure. Adversary Emulation also help security team to get more visibility into their environment. Performing Adversary Emulation continuously to strengthen and improve your defense over the time.
Perkembangan infrastruktur kunci publik di indonesia - Andika Triwidadaidsecconf
UU-ITE pasal 11 melegalkan Tanda Tangan Elektronik, membuat kedudukannya setara dengan tanda tangan basah. Implementasinya mengandalkan Infrastruktur Kunci Publik yang melibatkan beberapa organisasi dan jalinan trust. Akan di bahas gambaran umum implementasi IKP di Indonesia dan berbagai layanan yang telah beroperasi, serta sebagian aspek keamanannya.
Pentesting react native application for fun and profit - Abdullahidsecconf
React Native merupakan framework yang digunakan untuk membuat aplikasi mobile baik itu Android maupun IOS (multi platform). Framework ini memungkinkan developer untuk membuat aplikasi untuk berbagai platform dengan menggunakan basis kode yang sama, yaitu JavaScript.
Dikarenakan aplikasi ini berbasis JavaScript (client side), banyak developer yang tidak memperhatikan celah keamanan pada aplikasi. Terdapat berbagai macam celah keamanan meliputi client side dan server side. Presentasi ini memuat pengalaman saya dalam menemukan celah keamanan pada saat melakukan Penetration Testing pada aplikasi mobile berbasis React Native
Hacking oximeter untuk membantu pasien covid19 di indonesia - Ryan fabellaidsecconf
Pandemi covid-19 melonjak pada gelombang ke-2 di. Untuk mengantisipasi itu pemerintah membagikan oximeter ke puskesmas. Oximeter yang ada dipasaran mengharuskan tenaga kesehatan untuk kontak langsung dengan pasien. Dengan menggunakan Hacked Oxymeter ini dapat mengurangi intensitas bertemu dengan pasien dan mengurangi resiko terpapar covid-19. Secara metodologi, hacking oximeter ini membaca output komunikasi serial pada alat oximeter untuk kemudian diolah oleh mikrokontroler dan dikirim ke MQTT broker untuk diteruskan ke klien yang membutuhkan. Alat ini digunakan oleh pasien yang sedang isoman di hotel, fasilitas Kesehatan atau rumah sakit darurat/lapangan
Vm escape: case study virtualbox bug hunting and exploitation - Muhammad Alif...idsecconf
Eksploitasi kerentanan pada hypervisor semakin banyak diperbincangkan di beberapa tahun ini, dimulai dari kompetisi hacking Pwn2Own pada 2017 yang mengadakan kategori Virtual Machine dalam ajang lombanya, dan juga teknologi-teknologi terkini yang banyak menggunakan hypervisor seperti Cloud Computing, Malware Detection, dll. Hal tersebut menjadi ketertarikan bagi sebagian hacker, security researcher untuk mencari kelemahan dan mengeksploitasi hypervisor. Tulisan ini menjelaskan mengenai proses Vulnerability Research dan VM Escape exploitation pada VirtualBox.
Devsecops: membangun kemampuan soc di dalam devsecops pipeline - Dedi Dwiantoidsecconf
Proses DevSecOps saat ini banyak digunakan dikalangan industri yang membutuhkan kecepatan baik dalam pengembangan maupun implementasi. Setiap tahapan pada pipeline DevSecOps merupakan tahapan yang harus diperhatikan dan masuk kedalam pantauan SOC (Security Operation Center). Untuk itu diperlukan kemampuan SOC untuk bisa memantau setiap pipeline DevSecOps sehingga dapat memberikan gambaran kondisi keamanan pada organisasi
Devsecops: membangun kemampuan soc di dalam devsecops pipeline - Dedi Dwianto
(paper) Analisis Celah Keamanan Manajemen Sesi terhadap Serangan Session Hijacking pada Web Aplikasi
1. Analisis Celah Keamanan Manajemen Sesi terhadap Serangan
Session Hijacking pada Web Aplikasi
Mochamad Akbar Anggamaulana
mochamad.akbar@gmail.com
Abstract
Manajemen sesi merupakan salah-satu layanan penting yang harus dikelola dengan baik, keamanan manajemen
sesi yang baik setidaknya dapat menunjang 2 prinsip dasar dalam konsep keamanan, yaitu confidentiality (kera-
hasian data) dan integrity (keaslian data). Kerentanan terhadap celah keamanan manajemen sesi bahkan berada
pada peringkat kedua didalam dokumen OWASP Top 10 - 2017 yang diterbitkan oleh OWASP Foundation. Salah-
satu serangan yang dapat dilakukan terhadap manajemen sesi adalah session hijacking. Terdapat fitur dasar dari
proses client-server yang dimanfaatkan oleh penyerang ketika melakukan serangan session hijacking, yaitu session
dan cookies. Serangan session hijacking biasanya terjadi di sisi server dalam bentuk pencurian session dan di sisi
client berupa pencurian cookies yang dimiliki oleh client. Pada makalah ini akan dibahas tentang pengetahuan
dasar dari manajemen sesi dan teknik apa saja yang bisa digunakan oleh penyerang ketika melakukan serangan
session hijacking terhadap celah keamanan manajemen sesi yang berada pada layer application didalam model
OSI layer.
1 Pendahuluan
Saat ini aplikasi menjadi bagian yang penting dalam menunjang sebagian besar aktifitas masyarakat, baik
itu aktifitas industri, pendidikan, pemerintahan bahkan transportasi tidak lepas dari adanya pengaruh aplikasi.
Karena teknologi, dalam hal ini aplikasi sudah menjadi sebuah alat bantu masyarakat untuk mendapatkan sebuah
efektifitas didalam setiap aktifitas yang akan dilakukan. Ketergantungan masyarakat terhadap aplikasi membuat
banyak aplikasi bermunculan dan diperuntukan untuk berbagai jenis perangkat.
Aplikasi berbasis web merupakan salahsatu jenis aplikasi yang umum digunakan saat ini. Karena penggunaan
aplikasi web cukup mudah (client-server, client cukup melakukan akses dengan web browser) dan nyaman (re-
sponsive, bisa diakses melalui berbagai jenis device) maka tidak jarang banyak pengguna aplikasi lebih memilih
menggunakan aplikasi web ketika ingin memperoleh sejumlah data/informasi.
Di sisi lain, potensi resiko keamanan aplikasi web yang dapat dimanfaatkan oleh orang yang tidak bertanggung
jawab. Sedikitnya menurut data dari Imperva pada tahun 2014 terdapat 44% peningkatan serangan pada website
dibandingkan tahun 2013. Sementara OWASP pada tahun 2017 merilis sepuluh celah keamanan paling berbahaya
didalam web aplikasi (Table 1: OWASP Top 10 - 2017) [1].
2. Table 1: OWASP Top 10 - 2017 [1]
No Celah Keamanan Deskripsi
1. Injection Injection Flaws bisa berupa in-
jeksi pada database SQL, ap-
likasi (RFQ/LFI)
2. Broken Authentication & Session Management Kesalahan didalam proses auten-
tikasi ataupun manajemen sesi
ketika login, contohnya session
hijacking
3. Cross - Site Scripting (XSS) Kesalahan fungsi didalam ap-
likasi tetapi hanya berefek pada
client side
4. Insecure Direct Object Reference Tidak disanitasinya beberapa
variabel sehingga penyerang bisa
melakukan access secara bebas
terhadap halaman-halaman sen-
sitive
5. Securing Misconfiguration Kesalahan konfigurasi, misalnya
allow dan disallow directory di-
dalam robots.txt
6. Sensitive Data Exposure Kesalahan konfigurasi didalam
pengaturan akses permission
data-data penting
7. Missing Function Level Access Control Kesalahan fungsi pada aplikasi
yang berakibat pada server side,
contohnya akses langsung ke-
halaman admin tanpa menggu-
nakan session
8. Cross-Site request Forgery Melakukan XSS yang berakibat
kedalam server side karena
berhubungan dengan session
client untuk melakukan eksekusi
9. Using Know Vulnerable Components Memanfaatkan kelemahan
beberapa komponen/plug in
bawaan aplikasi, contohnya
remote code execution pada
aplikasi framework spring di java
10. Uninvalid Redirects and Forwards Melakukan phising kepada kor-
ban agar mendapatkan informasi
sensitif (session/cookie)
Pada daftar yang dikeluarkan OWASP, Session Hijacking termasuk kedalam 2 teratas dari celah keamanan
yang paling memiliki dampak dan sering terjadi. Session Hijacking merupakan jenis serangan yang berfokus pada
manajemen sesi yang dapat dimanipulasi kepemilikannya, sehingga ketika session hijacking terjadi tidak jarang
korban tidak menyadarinya karena biasanya dikombinasikan juga dengan teknik serangan session hijacking man
2
3. in the middle attack dan spoofing. Biasanya session hijacking terjadi karena manajemen sesi tidak memberikan
batasan pengguna ketika melakukan akses kedalam sistem web aplikasi.
Terdapat dua alasan mengapa celah kemanan manajemen sesi tidak dapat dihilangkan selama pembuatan web
aplikasi. Pertama, developer web kadang tidak memiliki skill yang cukup dan tidak terbiasa dengan session fixation
atau serangan CSRF. kedua, melakukan check untuk menemukan potensi celah keamanan web aplikasi merupakan
hal yang membosankan, memakan waktu dan merupakan tugas yang menakutkan bagi developer aplikasi. Selain
itu developer web aplikasi harus melakukan testing secara keseluruhan dengan menyiapkan scenario malicious
script untuk melakukan simulasi serangan [2].
Manajemen sesi yang baik dan pengetahuan bagaimana proses serangan session hijacking terjadi akan dapat
meminimalisir serangan session hijacking pada web aplikasi. karenanya dibutuhkan kemampuan dari program-
mer/developer ketika akan membuat sebuah aplikasi web.
2 Tinjauan Pustaka
2.1 Keamanan Aplikasi Web
Keamanan piranti lunak merupakan proses mendesain, membangun dan melakukan uji coba sebuah piranti
lunak dengan memperhatikan keamanan di tiap bagiannya agar piranti lunak tersebut dapat menahan serangan
[3]. Pada umumnya ketika melakukan proses desain sistem pada sebuah aplikasi, developer atau programmer
sudah melakukan pengamanan sebagai tindakan pencegahan terhadap potensi resiko serangan pada aplikasi yang
akan dibangun dan diuji coba.
Terdapat tiga pilar keamanan piranti lunak yakni manajemen resiko, touchpoint dan pengetahuan. Dengan
menerapkan ketiganya secara terhadap dan ukuran yang sesuai maka program keamanan piranti lunak yang
standar dan hemat dapat terwujud [3]. Adapun tahan pembangunan piranti lunak yang aman dengan dasar tiga
pilar tersebut menurut Gary McGraw adalah sebagai berikut :
Figure 1: Tahapan SDLC [3]
3
4. Dari timeline yang menjadi referensi diatas, didapatkan bahwa tahap security requirements dilakukan ketika
sebelum dilakukan proses desain terhadap sebuah aplikasi. Maka dari itu, keamanan aplikasi web yang baik
ditentukan sebelum aplikasi masuk kedalam tahap desain.
2.2 Manajemen Sesi
.
Manajemen sesi adalah sebuah sistem yang digunakan oleh server ketika akan melakukan sebuah koneksi dengan
client agar informasi koneksi yang ada dapat tersimpan dan nantinya client bisa langsung terhubung dengan server
tanpa harus melakukan koneksi ulang. Dari sisi keamanan, manajemen sesi adalah sesuatu yang banyak orang
tidak sadar, padahal manajemen sesi merupakan metodologi keamanan penting untuk menggagalkan hacker dari
percobaan untuk masuk kedalam dan mengambil alih kontrol sesi [4].
Figure 2: Alur kerja session management [5]
Biasanya manajemen sesi diterapkan didalam sebuah proses autentikasi login, karena pada proses autentikasi
terdapat layanan yang membedakan antar user (misal : administrator dan guest user), informasi yang disimpan
biasanya berhubungan dengan akses kontrol dari client, beberapa media penyimanan didalam manajemen sesi
adalah session dan cookies. Media penyimpanan tersebut bisa terdapat didalam mesin dari client ataupun didalam
mesin dari server.
2.2.1 Session
Session adalah salah-satu media yang ada didalam manajemen sesi yang digunakan untuk menyimpan data
sementara kedalam sebuah variable (variable session) sehingga data tadi dapat diakses oleh client selama variabel
session tadi tidak dihilangkan ataupun dikosongkan. Nilai variabel disimpan didalam server. Jadi session relatif
lebih aman digunakan untuk menyimpan variabel nilai yang bersifat rahasia seperti username dan password pada
saat login.
1. Mengawali Session di PHP
Metode pengiriman variabel bisa menggunakan GET atau POST
s e s s i o n s t a r t ;
2. Penggunaan Variable Session di PHP
Setelah session dimulai maka variabel session sudah dapat mulai digunakan. Penggunaannya menggunakan
format $ SESSION[’nama variable’]. Setiap halaman yang menggunakan variable session harus mende-
larasikan kode diatas, agar dapat menggunakannya. Setelah itu baru kita bisa membuat nama session baru
sebagai berikut:
4
5. <?php
$ SESSION [ ’ Matkul ’ ] = ”KAMSOFT”;
?>
Session dengan nama Matkul akan dapat kita gunakan dalam sebuah page dengan cara sebagai berikut:
<?php
echo $ SESSION [ ’ Matkul ’ ] ;
?>
2.2.2 Cookies
Cookies atau Web Cookies adalah salah-satu media yang ada didalam manajemen sesi yang digunakan untuk
menyimpan data sementara kedalam sebuah variabel sehingga dapat diakses oleh client selama variabel tersebut
tidak dihilangkan ataupun dikosongkan. Berbeda dengan session yang nilai variabelnya disimpan di sisi server,
cookies menyimpan nilai variabel di sisi client.
Tempat penyimpanan cookies biasanya didalam sebuah browser aplikasi, sehingga dapat membantu website
memberitahu aktivitas yang dilakukan oleh client. Didalam sebuah website, fasilitas ”remember me” atau ”in-
gatkan saya selalu” yang ada ketika akan melakukan sebuah login biasanya memanfaatkan fungsi dari cookies.
Cookies dibagi kedalam dua jenis, yaitu :
1. Non persistent (session) cookies
Suatu cookie yang akan hilang sewaktu user menutup browser dan biasanya digunakan pada shopping carts
di toko belanja online untuk menelusuri item-item yang dibeli.
2. Persistent cookies
Diatur oleh situs-situs portal, banner / media iklan situs dan lainnya yang ingin tahu ketika user kembali
mengunjungi site mereka. (misal dengan cara memberikan opsi Remember Me saat login). File file ini
tersimpan di hardisk user.
2.3 Kelemahan Manajemen Sesi [4]
1. Weak SSL Cipher Support
Memilih algoritma enkripsi yang lemah dan mudah ditembus.
2. Information Submited Using the Get Method
Menggunakan metod GET untuk melakukan komunikasi data request dan response.
3. Self-Signed Certificates, Insecure Keys, and Password
Menandatangani sendiri sertifikat digital, kunci dan password yang tidak aman.
4. Username Harvesting Applied to Forgotten Password Process
Mendapatkan username dengan cara melakukan harvesting untuk selanjutnya memanfaatkan fitur forgotten
password.
5. Autocomplete Enable on Password Fields
Mengaktifkan autocomplete pada kolom password.
5
6. 6. Session IDs Nonrandom and Too Short
Session ID dihasilkan tidak random dan karakter yang dihasilkan terlalu pendek.
3 Pembahasan
3.1 Session hijacking
Session hijacking adalah sinonim dari pencurian session, dimana attacker melakukan intercept dan take over
secara sah komunikasi antara user dan host [6]. serangan session hijacking juga dikenal dengan sebagai serangan
cookie hijacking [7].
Definisi lain mengatakan bahwa session hijacking adalah kombinasi dari serangan sniffing dan spoofing yang
dilakukan terhadap proses komunikasi secara normal, attacker sebagai pihak ketiga ikut serta didalamnya. Atau
injeksi terhadap informasi tambahan yang berbasiskan TCP session dimana komunikasi berasal dari link yang
diakses secara langsung antara 2 sisi yang dilakukan oleh attacker [8].
Figure 3: Active Attack [6]
3.2 Session hijacking : Application Layer
Session hijacking merupakan serangan yang mungkin terjadi di 2 layer dalam OSI model, yaitu layer network
dan application. Pada application layer, attacker lebih memilih menghasilkan session baru dengan menangkap
session ID daripada melakukan hijacking terhadap session yang berlaku. Session ID sangat mudah ditangkap di
client side melalui URLs yang disimpan kedalam history file dari browser, file cookie disimpan didalam komputer
client atau form ada [9].
Session ID merupakan kode string yang digunakan oleh server untuk melakukan komunikasi data request-
response dengan user. Sebagai contoh, apabila user telah melakukan login kedalam sebuah web toko buku online,
lalu user membuka page lain dengan tab yang berbeda untuk mencari informasi tertentu, maka user tidak perlu lagi
login seperti awal ketika user melakukan akses ke web toko buku online. Itu terjadi karena server mengidentifikasi
dan mengenali Session ID yang telah diberikan kepada user ketika sebelumnya secara valid berhasil login.
Terdapat beberapa tempat dimana server menyimpan Session ID yang digunakan untuk berkomunikasi dengan
user [6], diantaranya :
6
7. 1. Embedded in a URL
Dalam hal ini, server menyimpan Session ID didalam sebuah URL,
contohnya http://kamsoft.co.id/dashboard.php?sesi=hay0805170800
Session ID yang dimasukan kedalam variabel sesi ketika user melakukan request URL dengan metode GET,
Session ID akan terus digunakan selama server melakukan verifikasi terhadap url yang diakses oleh user
2. Embedded as a Hidden Field
Session ID dimasukan kedalam sebuah variabel yang ada didalam sebuah form html,
Contohnya ¡input type=”hidden” name=”kamsoft” value=”hay0805170800” id=”kamsoft”¿
Pada poin ini, Session ID dikirimkan melaui metode POST dalam HTTP.
3. Cookies
Session ID dikirimkan oleh server dan dimasukan kedalam sebuah file yang berintegrasi dengan Web Browser.
File cookies berada di dalam lokal mesin.
Contohnya C:/program files/mozilla/profile/akbar/cookies.txt
Beberapa tipe serangan session hijacking yang dapat dilakukan di layer application. Beberapa contoh serangan
yang ada dilayer application diantaranya adalah session sniffing, predictable session token, MITM attack, MITB
attack, XSS attack, CSRF attack, session replay attack dan session fixation [6].
3.2.1 Session Sniffing
Session sniffing adalah aktifitas sniffing yang dilakukan untuk mendapatkan session aktif. Session ID atau session
token yang didapatkan digunakan hacker untuk mendapatkan akses terhadap server atau sumberdaya lain.
3.2.2 Predictable Session Token
Attacker bisa memprediksi Session ID yang dihasilkan dari algoritma yang lemah, attacker dapat melakukan
analisis terhadap tiap variabel yang ada didalam Session ID melalui pola yag ada, analisis yang dilakukan dapat
dilakukan secara manual dan otomatis menggunakan aplikasi semacam cryptanalytic. Data yang dikumpulkan
harus cukup banyak agar ketika dianalisis dapat ditemukan pola yang tepat sehingga attacker dapat memprediksi
Session ID selanjutnya, 2 langkah sederhana yang dilakukan ketika akan melakukan prediksi Session Token atau
Session ID diantaranya :
1. Captured
attacker melakukan pengumpulan beberapa Session ID untuk kebutuhkan analysis. Contohnya
http://kamsoft.co.id/dashboard.php?sesi=hay0805170800
http://kamsoft.co.id/dashboard.php?sesi=hay0805170802
http://kamsoft.co.id/dashboard.php?sesi=hay0805170804
2. Predicts
Dari Session ID yang dikumpulkan maka attacker melakukan analisis dalam kasus ini isi dari variabel sesi
yang dihasilkan. Contohnya
7
8. (a) hay : merupakan konstanta (biasanya username)
(b) 080517 : tanggal ketika diakses (tanggal 9 bulan 05 tahun 2017)
(c) 0800 : waktu ketika melakukan akses (jam 8 pagi)
Maka session ID berikutnya dapat diprediksi dari pola yang ada. Apabila attacker ingin melakukan akses ter-
hadap web tersebut maka attacker tinggal menyesuaikan Session ID dengan tanggal dan waktu ketika mengakses.
3.2.3 Man-In-The-Middle Attack
Pada serangan Man-In-The-Middle Attack, attacker melakukan intercept pesan yang ada dalam proses komunikasi
antara korban dengan server (web server). Dalam kasus ini secara spesifik attacker melakukan intercept HTTP
protocol sebagai target. Terdapat 2 teknik yang dilakukan, yaitu :
1. Client-to-attacker connection
2. attacker-to-Server connection
Dalam proses serangan, attacker membaca, melakukan modifikasi dan selanjutnya mengirimkan pesan yang
telah dipalsukan ke setiap target yang sebelumnya komunikasinya telah di intercept. Secara sederhana, komunikasi
yang terjadi antara client dan server dilakukan melalui attacker.
Figure 4: Man-in-the-Middle Attack [10]
3.2.4 Man-In-The-Browser Attack
Terdapat tiga variasi serangan yang adapat dilakukan, yaitu Cross-Site Scripting (XSS) Attack, Cross-Site request
Forgery (CSRF) Attack dan Trojan.
1. Cross-Site Script Attack
Merupakan tipe serangan yang terjadi ketika attacker mengirimkan malicious javascript didalam sebuah
link yang selanjutnya diakses oleh korban sehingga menampilkan cookie aktif yang sedang digunakan oleh
8
9. korban. Dengan teknik tambahan, cookie yang ada dapat digunakan oleh attacker sehingga memiliki cookie
yang sama dengan korban. Contoh sederhana dari link yang berisi malicious code javascript yang diterima
korban sebagai berikut :
http://kamsoft.co.id/hay.php?xss=¡script¿alert(document.cookie)¡/script¿
Figure 5: Cross-site Scripting Attack [10]
2. Cross-Site request Forgery Attack
Serupa dengan serangan XSS, CSRF juga terjadi ketika korban melakukan akses terhadap link yang berisi
malicious code. Keadaan yang membedakan adalah adanya teknik tambahan, dimana attacker sebelumnya
menempatkan link yang berisi malicious code kedalam website milik attacker, sehingga korban dipaksa
mengirimkan cookies dari Session yang aktif kedalam website milik attacker, untuk selanjutnya attacker
dapat menggunakan cookie serupa untuk melakukan komunikasi yang sah dengan target website
Figure 6: Cross-site request Forgery Attack [10]
3. Trojan
Berbeda dengan variasi serangan diatas, serangan dengan trojan mengharuskan web browser korban terin-
stall malicious code didalam konfigurasinya. Sehingga attacker melakukan secara passif dan aktif. Dikatakan
9
10. pasif karena attacker harus menunggu korban melakukan akses terhadap website yang telah di targetkan,
selain itu secara aktif attacker harus mengarahkan korban untuk melakukan akses terhadap website yang
telah ditargetkan dan menginstall malicious code kedalam web browser yang digunakan oleh korban.
3.2.5 Session Replay Attack
Pada serangan ini attacker mendengarkan pembicaraan yang dilakukan user dengan server, setelah itu menangkap
token autentikasi berupa Session Token atau Session ID yang digunakan user. Attacker menggunakan token
autentikasi untuk melakukan request ke server untuk mendapatkan access yang sama seperti user.
Figure 7: Session Replay Attack [10]
3.2.6 Session Fixation
Dalam serangan session fixation, attacker menetapkan session ID user sebelum user tersebut melakukan login
kedalam server target [11]. Serupa dengan XSS. Session fixation memanfaatkan link yang berisi malicious code
agar diakses oleh korban. Isi dari link tersebut biasanya berupa session id yang sebelumnya digunakan attacker
untuk melakukan akses kedalam target server.
Figure 8: Simple Session Fixation Attack on URL Based [11]
Gambar diatas menunjukan bahwa sebelumnya attacker melakukan koneksi dengan server target untuk men-
dapatkan session id, untuk setelahnya di sah kan oleh korban sebagai user yang valid didalam server target.
10
11. Sehingga dalam aspek keabsahan validasi data, maka attacker termasuk kedalam user sah yang melakukan vali-
dasi terhadap server.
Figure 9: Session Fixation Scenario [10]
4 Kesimpulan
Manajemen sesi merupakan salah-satu layanan yang dapat mempermudah client melakukan koneksi kepada
server karena dengan memanfaatkan fitur session dan cookies. Client dapat dengan mudah melakukan koneksi
tanpa harus melakukan pengulangan login ataupun segala request yang berkaitan dengan penyimpanan data
sementara yang dilakukan oleh client.
Kemudahan client melakukan komunikasi terhadap server dengan memanfaatkan session dan cookies juga
menjadi celah bagi penyerang untuk memanfaatkan kemudahan tersebut untuk melakukan komunikasi dengan
server secara ilegal atau tidak sah. Serangan yang dilakukan untuk mendapatkan komunikasi dengan server
tersebut salah-satunya dapat dengan cara melakukan session hijacking.
Beberapa teknik session hijacking dapat di aplikasikan penyerang untuk mendapatkan sesi komunikasi yang
terjadi. variasi serangan yang dilakukan juga dapat dikombinasikan dengan beberapa teknik lain seperti spoofing
ataupun social-engineering.
References
[1] D. Wichers, “Owasp top 10 - 2017,” tech. rep., OWASP Foundation, 2017.
[2] Y. Takamatsu, Y. Kosuga, and K. Kono, “Automated detection of session management vulnerabilities in
web applications,” in 2012 Tenth Annual International Conference on Privacy, Security and Trust, IEEE,
jul 2012.
[3] G. R. McGraw, Software Security. Pearson Education (US), 2006.
[4] R. Lepofsky, The Manager’s Guide to Web Application Security. Apress, 2014.
11
12. [5] R. Siles, “Session management cheat sheet,” tech. rep., OWASP Foundation, 2017.
[6] S.-P. Oriyano, CEH: Certified Ethical Hacker Version 8 Study Guide. Sybex, 2014.
[7] S. K. Chung, O. C. Yee, M. M. Singh, and R. Hassan, “SQL injections attack and session hijacking on e-
learning systems,” in 2014 International Conference on Computer, Communications, and Control Technology
(I4CT), IEEE, sep 2014.
[8] Y. Wang and J. Chen, “Hijacking spoofing attack and defense strategy based on internet TCP sessions,” in
2013 2nd International Symposium on Instrumentation and Measurement, Sensor Network and Automation
(IMSNA), IEEE, dec 2013.
[9] V. Jain, D. R. Sahu, and D. S. Tomar, “Session hijacking: Threat analysis and countermeasures,” Interna-
tional Conference on Futuristic Trends in Computational analysis and Knowledge management, 2015.
[10] EC-Council, “Ethical hacking and countermeasures v8,” 2017.
[11] M. Kolek, “Session fixation vulnerability in web-based applications,” Across Security, 2002.
12