I. Pendahuluan

  • Pentingnya keamanan sesi dalam aplikasi web saat ini
  • Penjelasan ringkas tentang apa itu session hijacking
  • Pengenalan tentang penetration testing sebagai metode pengujian keamanan
  • Tujuan artikel: menjelaskan bagaimana penetration testing digunakan untuk mendeteksi dan mencegah session hijacking

II. Pengertian Dasar

A. Apa Itu Session Hijacking?

  • Penjelasan sederhana tentang pencurian sesi pengguna
  • Dampak dari session hijacking: penyalahgunaan akun, pencurian data
  • Contoh umum: penyadapan melalui Wi-Fi publik

B. Apa Itu Penetration Testing?

  • Penetration testing = uji coba keamanan sistem dari sudut pandang “penyerang”
  • Tujuannya: menemukan kelemahan sebelum dimanfaatkan oleh penjahat siber

III. Langkah-langkah Penetration Testing untuk Session Hijacking

  1. Pengamatan Awal
    • Menganalisis bagaimana aplikasi menyimpan dan mengelola sesi
    • Melihat apakah session ID aman atau terlihat jelas di URL/cookie
  2. Pengujian Penyimpanan Token
    • Mengecek apakah token disimpan dengan aman (bukan di localStorage yang rentan XSS)
  3. Pengujian Keamanan Cookie
    • Apakah cookie menggunakan atribut HttpOnly, Secure, dan SameSite
  4. Simulasi Serangan XSS
    • Mencoba menyisipkan skrip untuk mencuri session ID
  5. Sniffing Data (Penyadapan Jaringan)
    • Menggunakan tools untuk menangkap data saat terkirim di jaringan tanpa HTTPS
  6. Session Fixation Test
    • Menentukan apakah session ID tetap sama sebelum dan sesudah login
  7. Mengambil Alih Sesi
    • Menggunakan session ID yang diperoleh untuk mencoba mengakses akun pengguna

IV. Tools yang Digunakan dalam Pengujian

  • Burp Suite – untuk analisis permintaan dan cookie
  • OWASP ZAP – alat pengujian keamanan otomatis
  • Wireshark – untuk menyadap dan menganalisis data jaringan
  • BeEF – untuk pengujian XSS dan interaksi dengan browser pengguna

V. Rekomendasi dan Solusi jika Ditemukan Kerentanan

  • Gunakan HTTPS untuk semua koneksi
  • Simpan token di cookie yang aman (bukan localStorage)
  • Terapkan session timeout (sesi kedaluwarsa otomatis)
  • Regenerasi session ID setelah login
  • Validasi semua input pengguna untuk mencegah XSS
  • Jangan menampilkan session ID di URL

VI. Kesimpulan

  • Session hijacking adalah ancaman nyata di dunia digital
  • Penetration testing membantu menemukan dan menutup celah tersebut
  • Keamanan bukan hanya soal teknologi, tapi juga soal kepedulian terhadap pengguna
  • Ajakan: lakukan pengujian keamanan secara rutin untuk menciptakan sistem yang aman dan terpercaya

NAMA        : SAFARUDDIN

NIM            : 23156201035

JURUSAN : SISTEM KOMPUTER