Hindari Session Fixation


Session Fixation adalah salah satu teknik yang biasa digunakan para hacker untuk membobol suatu website. Pada teknik ini, hacker membuat halaman sendiri sebagai halaman tiruan yang berisi link lengkap dengan session id yang telah ditentukan olehnya.

Sebagai contoh misalkan ada sistem login pada sebuah situs dengan URL http://situs.com/login.php. Biasanya proses login tersebut disertai session id yang sifatnya acak. Dalam hal ini hacker bisa aja membuat suatu halaman yang merujuk ke alamat tadi dengan menambahkan Query String seperti http://situs.com/login.php?PHPSESSID=56789

Terlihat bahwa hacker telah mendefinisikan session id sendiri dengan tetap (fixed session) yaitu 56789. Sehingga apabila user lain melakukan login melalui link tersebut, maka pada saat yang sama hacker bisa masuk dengan mudah ke halaman admin karena telah memiliki session yang sama. Dalam hal ini session telah dibajak oleh hacker tadi.

Tapi hal ini bisa dihindari dengan memanfaatkan salah satu fungsi dari PHP sendiri yaitu session_regenerate_id(); Perintah tersebut lebih baik diletakkan pada bagian atas file yang digunakan untuk proses login. Tujuannya adalah untuk meregenerate / membuat ulang id session yang berbeda.

Mari Berdiskusi Bersama

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s