Indonesia Website Awards

Mencegah Ancaman Hijacking Session

session hijacking.jpg

Sebagian besar industri dan bisnis menggunakan metode keamanan passkey maupun autentikasi multifaktor (MFA) sebagai solusi untuk melindungi informasi sensitif, meminimalkan permukaan serangan dan meningkatkan keamanan siber. Meskipun pendekatan ini sudah cukup kuat, namun tim keamanan perlu mrngetahui apakah metode tersebut sudah cukup untuk mengamankan data pengguna sepenuhnya atau malah sebaliknya.

Seperti namanya, session hijacking melibatkan seseorang yang mengambil alih sesi situs web Anda, memungkinkan mereka bertindak atas nama Anda dan mengambil alih akun online Anda. Kemungkinan dampaknya banyak; pencurian identitas, pembelian palsu, rekening bank kosong, atau bahkan data perusahaan yang dicuri.

Namun bagaimana session hijacking bisa terjadi, dan apa yang dapat Anda lakukan untuk mencegah hal itu terjadi? Baca terus untuk mengetahui cara mencegah pembajakan sesi, baik Anda pemilik situs web atau sekadar menjelajahi web.

Namun pertama-tama, mari kita bahas apa sebenarnya sesi itu.

Apa itu sesi?

Saat Anda mengunjungi atau masuk ke situs web, sesuatu yang disebut sesi dimulai. Sesi melacak interaksi pengguna dengan situs dalam jangka waktu tertentu, baik saat menjelajah, melakukan pembelian, atau mengirim pesan.

Sesi ini memberi pemilik situs web data berguna tentang perilaku pengguna dan merupakan sarana untuk menyimpan data pengguna individual terhadap ID Sesi unik. Sesi dapat berakhir setelah orang tersebut keluar atau keluar dari situs, atau setelah jangka waktu yang telah ditentukan.

Kelemahan dari sesi adalah apa yang bisa terjadi jika seseorang mendapatkan ID sesi Anda. Memiliki akses terhadap informasi tersebut adalah cara session hijacking dilakukan.

Bagaimana session hijacking bekerja?

Setelah sesi dimulai, cookie sementara ditempatkan di browser pengguna selama durasi tersebut. Agar seseorang dapat membajak sesi Anda, mereka harus mencuri cookie ini untuk mengetahui ID sesi Anda (itulah sebabnya session hijacking terkadang disebut cookie hijacking) atau mengakses ID sesi Anda dengan cara lain. Setelah penyerang mendapatkan ID Sesi, mereka dapat menggunakannya di browser mereka sendiri dan menipu server situs web dengan mengira bahwa merekalah penggunanya.

Ada banyak cara untuk melakukan pembajakan sesi. Berikut adalah tiga cara paling umum yang digunakan pelaku kejahatan untuk mendapatkan ID sesi:

Recommended:  Meta for Creator Luncurkan Program Bonus Siaran Langsung Untuk Kreator

Cross-site scripting

Metode session hijacking yang paling banyak digunakan, skrip lintas situs melibatkan memasukkan skrip sisi klien (browser) ke halaman web dengan mengeksploitasi kerentanan server yang mungkin tidak disadari oleh pemilik situs web. Skrip ini menyebabkan browser tanpa sadar mengeksekusi kode berbahaya saat memuat halaman web, karena mengira data tersebut berasal dari server tepercaya.

Pelaku seringkali mengelabui pengguna agar mengunjungi versi halaman web yang berbahaya melalui tautan di email atau pesan instan. Setelah pengguna mengklik link tersebut, Pelaku memiliki akses ke ID sesi mereka.

Session fixation

Metode session hijacking ini juga melibatkan penggunaan tautan berbahaya. Agar fiksasi sesi berfungsi, penyerang perlu menemukan situs web dengan server yang rentan di mana mereka dapat “memperbaiki” atau mengatur ID sesi pengguna lain.

Server rentan semacam ini tidak menetapkan ID sesi baru kepada pengguna namun mengizinkan mereka menggunakan ID sesi yang sudah ada. Pelaku mengirimkan hyperlink kepada pengguna yang menampilkan ID Sesi yang ada. Ketika pengguna mengkliknya, mereka akan diautentikasi dengan ID Sesi tersebut, dan pelaku dapat membajak sesi tersebut menggunakan tautan yang sama.

Cara mencegah session hijacking

Berikut beberapa praktik terbaik untuk pemilik situs web:

  1. Dapatkan sertifikat SSL. Pastikan seluruh situs web Anda diamankan dengan sertifikat SSL, dan bukan hanya halaman login dan pembayaran. Dengan mengenkripsi koneksi ke seluruh situs Anda, Anda dapat sepenuhnya mencegah sesi sniffing.
  2. Perkuat backend situs Anda dan selalu perbarui semuanya: Gunakan perlindungan antivirus dan malware yang baik dan perbarui perangkat lunak situs web Anda secara teratur untuk melindungi situs Anda dan penggunanya dari kerentanan yang tidak terduga.
  3. Pastikan Anda mengeluarkan ID sesi yang panjang dan acak dan dibuat ulang setelah setiap sesi.
Recommended:  Intel, Microsoft diskusikan rencana untuk menjalankan Copilot secara lokal di PC, bukan di cloud

Pengguna web biasa dapat melindungi diri mereka sendiri dengan melakukan hal berikut:

  1. Hati-hati terhadap tautan atau situs web mencurigakan, lihat apakah tautan atau situs web tersebut menggunakan sertifikat SSL terpercaya atau tidak.
  2. Jika Anda menerima email dari pengirim tidak dikenal atau email yang berada di folder spam, hati-hati terhadap email tersebut.
  3. Hapus cookie browser Anda secara teratur: Ini akan membantu mencegah pencurian cookie dan pembajakan sesi jika situs mana pun yang Anda kunjungi rentan.