pembajakan cookie adalah eksploitasi sesi komputer yang valid-terkadang juga disebut kunci sesi-untuk mendapatkan akses tidak sah ke informasi atau layanan dalam sistem komputer. |
Dalam ilmu komputer,pembajakan sesi,kadang-kadang juga dikenal sebagai pembajakan cookie adalah eksploitasi sesi komputer yang valid-terkadang juga disebut kunci sesi-untuk mendapatkan akses tidak sah ke informasi atau layanan dalam sistem komputer.Secara khusus,ini digunakan untuk merujuk pada pencurian cookie ajaib yang digunakan untuk mengotentikasi pengguna ke server jauh.Ini memiliki relevansi khusus untuk pengembang web,karena cookie HTTP yang digunakan untuk memelihara sesi di banyak situs web dapat dengan mudah dicuri oleh penyerang menggunakan komputer perantara atau dengan akses ke cookie yang disimpan di komputer korban (lihatPencurian cookie HTTP ).Setelah berhasil mencuri cookie sesi yang sesuai, musuh dapat menggunakan teknik Lewati Cookie untuk melakukan pembajakan sesi.Pembajakan cookie biasanya digunakan untuk melawan otentikasi klien di internet.Browser web modern menggunakan mekanisme perlindungan cookie untuk melindungi web dari serangan.
Metode yang populer adalah menggunakan paket IP yang diarahkan ke sumber.Hal ini memungkinkan penyerang di titik B di jaringan untuk berpartisipasi dalam percakapan antara A dan C dengan mendorong paket IP melewati mesin B.
Jika perutean sumber dimatikan, penyerang dapat menggunakan pembajakan "buta",di mana ia menebak tanggapan dari dua mesin. Dengan demikian, penyerang dapat mengirim perintah,tetapi tidak pernah dapat melihat responsnya.Namun,perintah yang umum adalah mengatur kata sandi yang memungkinkan akses dari tempat lain di internet.
Penyerang juga bisa "sebaris" antara A dan C menggunakan program sniffing untuk menonton percakapan. Ini dikenal sebagai "serangan man-in-the-middle ".
Sejarah HTTP
Protokol HTTP versi 0.8 dan 0.9 tidak memiliki cookie dan fitur lain yang diperlukan untuk pembajakan sesi. Versi 0.9beta dari Mosaic Netscape,dirilis pada 13 Oktober 1994,mendukung cookie.
Versi awal HTTP 1.0 memang memiliki beberapa kelemahan keamanan yang berkaitan dengan pembajakan sesi,tetapi sulit untuk dieksploitasi karena berbagai macam server dan browser HTTP 1.0 awal. Karena HTTP 1.0 telah ditetapkan sebagai cadangan untuk HTTP 1.1 sejak awal tahun 2000-an-dan karena server HTTP 1.0 pada dasarnya adalah server HTTP 1.1, masalah pembajakan sesi telah berkembang menjadi risiko keamanan yang hampir permanen.
Pengenalan supercookies dan fitur lainnya dengan HTTP 1.1 yang dimodernisasi telah memungkinkan masalah pembajakan menjadi masalah keamanan yang berkelanjutan.Standarisasi mesin webserver dan browser telah berkontribusi pada masalah keamanan yang sedang berlangsung ini.
Metode
Ada empat metode utama yang digunakan untuk melakukan pembajakan sesi.Ini adalah:
1.Fiksasi sesi,di mana penyerang menetapkan ID sesi pengguna ke ID yang mereka kenal,misalnya dengan mengirimkan email kepada pengguna dengan link yang berisi ID sesi tertentu.Penyerang sekarang hanya perlu menunggu sampai pengguna login.
2.Session side jacking,dimana penyerang menggunakan packet sniffing untuk membaca lalu lintas jaringan antara dua pihak untuk mencuri cookie sesi.Banyak situs web menggunakan enkripsi SSL untuk halaman login untuk mencegah penyerang melihat sandi,tetapi tidak menggunakan enkripsi untuk bagian situs lainnya setelah diautentikasi.Ini memungkinkan penyerang yang dapat membaca lalu lintas jaringan untuk mencegat semua data yang dikirimkan ke server atau halaman web yang dilihat oleh klien.Karena data ini menyertakan cookie sesi,ini memungkinkan mereka untuk meniru korban, meskipun kata sandinya sendiri tidak dikompromikan.Wi-Fi Tidak Aman hotspot sangat rentan, karena siapa pun yang berbagi jaringan umumnya akan dapat membaca sebagian besar lalu lintas web antara node lain dan titik akses.
3.Skrip lintas situs,di mana penyerang menipu komputer pengguna agar menjalankan kode yang dianggap dapat dipercaya karena tampaknya milik server,memungkinkan penyerang untuk mendapatkan salinan cookie atau melakukan operasi lain.
4.Malware dan program yang tidak diinginkan dapat menggunakan pembajakan browser untuk mencuri file cookie browser tanpa sepengetahuan pengguna, dan kemudian melakukan tindakan (seperti menginstal aplikasi Android) tanpa sepengetahuan pengguna.Seorang penyerang dengan akses fisik dapat dengan mudah mencoba untuk mencuri kunci sesi dengan,misalnya,mendapatkan file atau isi memori dari bagian yang sesuai baik dari komputer pengguna atau server.Setelah berhasil memperoleh cookie sesi yang sesuai, musuh dapat memanfaatkan teknik Lulus Cookie untuk melakukan pembajakan sesi.
Eksploitasi
1.Firesheep
Pada Oktober 2010,ekstensi Mozilla Firefox bernama Firesheep dirilis yang memudahkan pembajak sesi untuk menyerang pengguna Wi-Fi publik yang tidak terenkripsi.Situs web seperti Facebook, Twitter,dan apa pun yang ditambahkan pengguna ke preferensi mereka memungkinkan pengguna Firesheep untuk dengan mudah mengakses informasi pribadi dari cookie dan mengancam properti pribadi pengguna Wi-Fi publik.Hanya beberapa bulan kemudian,Facebook dan Twitter menanggapi dengan menawarkan (dan kemudian membutuhkan) HTTP Secure secara keseluruhan.
2.WhatsApp sniffer
Sebuah aplikasi bernama "WhatsApp Sniffer" tersedia di Google Play pada Mei 2012,dapat menampilkan pesan dari pengguna WhatsApp lain yang terhubung ke jaringan yang sama dengan pengguna aplikasi.Saat itu WhatsApp menggunakan infrastruktur XMPP dengan enkripsi,bukan komunikasi teks biasa.
3.DroidSheep
DroidSheep adalah alat Android sederhana untuk pembajakan sesi web (sidejacking).Itu mendengarkan paket HTTP yang dikirim melalui koneksi jaringan nirkabel (802.11) dan mengekstrak id sesi dari paket ini untuk menggunakannya kembali.DroidSheep dapat merekam sesi menggunakan perpustakaan libpcap dan mendukung:jaringan terbuka (tidak terenkripsi),jaringan terenkripsi WEP,dan jaringan terenkripsi WPA / WPA2 (hanya PSK).Perangkat lunak ini menggunakan libpcap dan arpspoof. APK dibuat tersedia di Google Play tetapi telah dihapus oleh Google.
4.CookieCadger
CookieCadger adalah aplikasi Java grafis yang mengotomatiskan sidejacking dan pemutaran ulang permintaan HTTP,untuk membantu mengidentifikasi kebocoran informasi dari aplikasi yang menggunakan permintaan GET yang tidak terenkripsi.Ini adalah utilitas sumber terbuka lintas platform berdasarkan rangkaian Wireshark yang dapat memantau Ethernet berkabel,Wi-Fi yang tidak aman,atau memuat file pengambilan paket untuk analisis offline.Cookie Cadger telah digunakan untuk menyoroti kelemahan situs berbagi tim yunior seperti Shutterfly (digunakan oleh liga sepak bola AYSO) dan TeamSnap.
Pencegahan
Metode untuk mencegah pembajakan sesi meliputi:
1.Enkripsi lalu lintas data yang dilewatkan antara para pihak dengan menggunakan SSL / TLS ; khususnya kunci sesi (meskipun idealnya semua lalu lintas untuk seluruh sesi).Teknik ini secara luas diandalkan oleh bank berbasis web dan layanan e-commerce lainnya,karena sepenuhnya mencegah serangan gaya sniffing.Namun,masih mungkin untuk melakukan beberapa jenis pembajakan sesi lainnya.Sebagai tanggapan,para ilmuwan dari Radboud University Nijmegen mengusulkan pada tahun 2013 cara untuk mencegah pembajakan sesi dengan menghubungkan sesi aplikasi dengan kredensial SSL / TLS.
2.Penggunaan nomor atau string acak panjang sebagai kunci sesi .Ini mengurangi risiko bahwa penyerang dapat dengan mudah menebak kunci sesi yang valid melalui trial and error atau serangan brute force.
3.Membuat ulang id sesi setelah login berhasil. Ini mencegah fiksasi sesi karena penyerang tidak mengetahui id sesi pengguna setelah mereka masuk.
4.Beberapa layanan melakukan pemeriksaan sekunder terhadap identitas pengguna.Misalnya,server web dapat memeriksa dengan setiap permintaan yang dibuat bahwa alamat IP pengguna cocok dengan yang terakhir digunakan selama sesi itu.Namun,ini tidak mencegah serangan oleh seseorang yang berbagi alamat IP yang sama, dan dapat membuat frustasi bagi pengguna yang alamat IP-nya dapat berubah selama sesi penjelajahan .
5.Alternatifnya, beberapa layanan akan mengubah nilai cookie dengan setiap permintaan.Ini secara dramatis mengurangi jendela di mana penyerang dapat beroperasi dan membuatnya mudah untuk mengidentifikasi apakah serangan telah terjadi,tetapi dapat menyebabkan masalah teknis lainnya (misalnya,dua permintaan yang sah dan waktunya dekat dari klien yang sama dapat mengarah pada pemeriksaan token kesalahan di server).
Pengguna juga mungkin ingin keluar dari situs web kapan pun mereka selesai menggunakannya.Namun ini tidak akan melindungi dari serangan seperti Firesheep.
Post a Comment