Home Pelajaran Web Security Authentication Bypass & Session Hijacking
Menengah 25 min Web Security

Authentication Bypass & Session Hijacking

Teknik bypass login: SQLi, forced browsing, JWT manipulation, session fixation, cookie theft, dan 2FA bypass.

Authentication Bypass adalah teknik melewati mekanisme autentikasi aplikasi tanpa kredensial yang valid. Session Hijacking adalah mencuri atau memanipulasi token session pengguna yang sah. Keduanya sangat berbahaya dan sering menjadi entry point utama serangan.

Jenis-Jenis Authentication Bypass

1. SQL Injection pada Login Form

Login Bypass Payloads
admin" OR "1"="1"--
admin" -- 
" OR 1=1 LIMIT 1 -- -
' OR '1'='1
admin") OR ("1"="1
admin" OR 1=1 #
OR 1=1

2. Forced Browsing

Akses langsung halaman internal tanpa login: /admin, /dashboard, /config.php

3. JWT (JSON Web Token) Manipulation

Beberapa kerentanan JWT:

  • None Algorithm: ubah alg ke "none", hapus signature
  • Weak Secret: bruteforce HMAC key dengan john/hashcat
  • Key Confusion: ubah RS256 ke HS256 dengan public key sebagai secret
  • Expired Token Reuse: beberapa server tidak validasi expiry
JWT None Attack
# Original JWT
eyJhbGciOiJSUzI1NiJ9.eyJ1c2VyIjoiZ3Vlc3QifQ.signature

# Modified (alg=none, no signature)
eyJhbGciOiJub25lIn0.eyJ1c2VyIjoiYWRtaW4ifQ.

Session Hijacking

Session Fixation

Penyerang mengirimkan session ID yang sudah diketahui ke korban. Begitu korban login, session ID yang sama menjadi valid — penyerang bisa mengakses akun korban.

Session Prediction

Session token yang lemah/predictable (contoh: MD5(timestamp)) bisa ditebak.

Session Sidejacking

Mencuri session cookie via XSS, MITM di HTTP (tanpa HTTPS), sniffing di network yang sama.

2FA Bypass Techniques

  • Response Manipulation: ubah {"2fa": false} jadi {"2fa": true}
  • Direct Endpoint Access: langsung akses /dashboard setelah login tanpa 2FA
  • Rate Limiting Missing: bruteforce kode 2FA tanpa limit
  • Leaked 2FA Secret: secret terbaca di response atau source code

Cara Mencegah

  • Gunakan prepared statements di semua query (hindari SQLi bypass)
  • Regenerasi session setelah login
  • Gunakan HTTPS di seluruh aplikasi
  • Set cookie flags: HttpOnly, Secure, SameSite=Strict
  • Validasi JWT signature dengan benar
  • Rate limiting untuk semua endpoint autentikasi

Referensi

  • OWASP Authentication Cheat Sheet
  • PortSwigger Authentication: https://portswigger.net/web-security/authentication