Mekanisme Keamanan Untuk Melindungi Aplikasi Berbasis Web Dari Serangan Session Hijacking

Abstract

Aplikasi berbasis web berjalan dengan protokol HTTP (Hyperteks Transfer Protocol) yang bersifat stateless, artinya protokol HTTP tidak bisa mempertahankan informasi antara satu permintaan (request) dengan permintaan yang lainnya. Untuk mendapatkan situs web yang stateful membutuhkan session. Dengan session aplikasi berbasis web dapat mencatat dan mempertahankan informasi antar request yang dilakukan oleh client. Penggunaan session pada aplikasi berbasis web menimbulkan celah keamanan untuk serangan session hijacking. Untuk melindungi aplikasi berbasis web dari serangan session hijacking dibuat dua mekanisme keamanan yaitu mekanisme manajemen session dan mekanisme autentikasi challenge/response. Mekanisme manajemen session membangkitkan session id baru dan melakukan autentikasi untuk setiap request dengan memanfaatkan informasi user agent browser dan informasi HTTP referer. Sedangkan mekanisme autentikasi challenge/response diguanakan untuk autentikasi terhadap transaksi-transaksi yang penting. Setelah melakukan pengujian terhadap mekanisme keamanan tersebut, kedua mekanisme keamanan dinyatakan dapat diimplementasikan dan dapat berjalan dengan baik pada aplikasi berbasis web. Kedua mekanisme keamanan tersebut juga dapat melindungi aplikasi berbasis web dari serangan session hijacking. Kunci: session id, fingerprint, secret key, challenge, response