Kali ini saya akan memberritahu kepada kalian semua tentang pengertian salah satu metode hacking yaitu Session Hijacking
PENGERTIAN :
Session Hijacking adalah eksploitasi yang dilakukan terhadap sebuah session atau koneksi yang sedang berlangsung diantara dua sistem komputer, untuk tujuan mengambil alih session tersebut dan mendapatkan akses dan data yang dipertukarkan dalam session itu
Berikut adalah gambar ilustrasi session hijacking yang sedang berlangsung.
Pada gambar terlihat sebuah session komunikasi yang sedang berlangsung diantara komputer korban dan komputer server. Session tersebut dihadang dan kemudian berhasil diambil alih oleh hacker, setelah berhasil hacker tersebut berpura-pura menjadi komputer korban untuk mengelabui server.
Server tak menyadari upaya si hacker dan tetap meneruskan session tersebut karena dari sudut pandang server, tak ada perubahan apapun pada identitas komputer korban, padahal kenyataanya komputer korban sudah tak berkomunikasi lagi denganya.
Hacker akan meneruskan session tersebut hingga berhasil memperoleh informasi yang diinginkan dari server misalnya data korban yang disimpan did server atau data lain yang diincar
Teknik-Teknik Session Hijacking
Teknik yang digunakan dalam session hijacking attack pada dasarnya memiliki tiga metode utama, yaitu :
- Brute Forcing → Membuat dan mengirimkan paket ke target dengan session ID yang divariasikan dengan sebuah program, sampai ada session ID yang benar dan diterima oleh target. Cara ini membutuhkan waktu waktu yang lebih lama untuk berhasil dibandingkan teknik lainya.
- Stealing → Mengambil data dari komputer target atau menangkap paket data yang dikirimkan dari target atau menuju target. Stealing dilakukan dengan menginstall program trojan di komputer target, menggunakan paket sniffer untuk membaca data di jaringan, menggunakan header HTTP referrer, dan melakukan cross-site scripting.
- Calculating → Menghitung session ID yang digunakan dengan menganalisa pola yang dibentuk oleh session-session ID sebelumnya. Session ID sebelumnya ditangkap dengan paket sniffer.
Tools Session Hijacking
- Zed Attack Proxy (ZAP)
- Burp Suite
- JHijack
ZAP adalah sebuah aplikasi proxy internet dengan kemampuan mencegat dan mengubah isi paket yang masuk dari sisi browser dan dari sisi situs web, sehingga aplikasi ini bisa memainkan fungsi man-in-the-middle.
Paket yang dikirim oleh browser bisa dilihat, di stop, dan diubah jika perlu, sebelum dikirimkan ke server. Sebaliknya paket tanggapan yang dikirimkan dri server juga bisa dilihat, di break, dan diubah sebelum dikirimkan ke browser, sehingga apa yang dikirimkan oleh browser bisa berbeda dengan permintaan yang diterima oleh server dan sebaliknya apa yang dikirimkan kembali oleh server juga bisa diubah sebelum sampai ke browser sehingga pengguna akan menerima paket tanggapan yang berbeda dengan yang dibuat oleh server.
Untuk menggunakan tool ini dalam serangan session hijacking, hacker harus mengupayakan agar proxy ini digunakan oleh korban. Browser dari korban harus disetting agar menggunakan proxy ZAP yang menggunakan port 8080.
Selain sebagai proxy, tool ini juga mempunyai fungsi vulnerabelity scanner untuk menguji aplikasi web sehingga bisa digunakan untuk melakukan penetration testing.
ZAP bisa diunduh di situs OWASP dimana OWASP adalah sebuah komunitas terbuka yang terdiri dari para sukarelawan yang punya misi mengembangkan aplikasi gratis untuk meningkatkan keamanan pengguna web. ZAP adalah salah satu project dari OWASP.
Burp Suite adalah sebuah aplikasi Java dengan fungsi proxy dan penetration testing yang mirip dengan ZAP, digunakan terutama untuk menguji keamanan dati aplikasi web.
Aplikasi ini mempunyai format .jar yang bisa dieksekusi secara langsung tanpa proses instalasi, dengan syarat sistem operasi anda sudah memiliki Java Runtime Environment.
Burp Suite bisa diunduh Disini, dimana tersedia versi gratis dan versi professional yang berbayar, denga harga sekitar 300 USD per user per tahun.
JHijack (Java Hijacking) adalah sebuah tool open source untuk menguji keamanan dari session yang dibentuk antara server aplikasi web dengan client yang mengakses situs server tersebut, dimana pengujian dilakukan dengan teknik fuzzing untuk menebak session ID yang aktif
JHijack membutuhkan aplikasi proxy yang bisa menangkap dan mengubah isi dari paket yang lewat seperti ZAP Proxy, untuk memanipulasi paket yang dikirimkan ke server dalam rangka menentukan range nilai-nilai yang berpeluang sebagai session ID yang dicari. Nilai yang berpeluang ini kemudian di input ke JHijack sebagai range data yang akan dilakukan fuzzing atau brute force untuk mendapatkan session ID yang dicari.
Jika anda ingin mendownload tool ini : Disini
mantab banget gan
BalasHapussolder hp