Session Puzzling / Session Variable Overloading Exploit

  • Deviant Design Merupakan Layanan Jasa Desain dan Social Media Management Yang Mempunyai Pusat Di Jember. Dengan layanan yang murah, cepat dan pastinya dengan kualitas kelas atas. Mampu mengatur segala kebutuhanmu dalam mengelola social media.
Session Puzzling adalah kerentanan tingkat aplikasi yang terjadi ketika variabel session aplikasi menggunakan lebih dari satu tujuan. Nama lain dari Session Puzzling adalah  Session Variable Overloading.Penyerang mencoba mengakses titik masuk aplikasi. Pembuatan session (cookie) dapat dimulai secara tidak langsung saat mengeksploitasi celah masuk aplikasi, dan kemudian dieksploitasi, dengan mengakses titik masuk seperti layanan web, halaman web, dashboard, dll. Session Puzzling memungkinkan penyerang untuk memotong otentikasi, meniru valid user, meningkatkan hak akses, membypass 2FA, dan bahkan melakukan serangan tambahan.


Exploitasi
Sebelum kalian melakukan teknik ini kaliah harus tau valid user atau valid email yang digunakan pada website target.
1.Cari halaman login / register / forgot email pada website, disini saya memilih form forgot password

Pastikan jika tidak ada cookie pada saat kalian akan melakukan post data, seandainya ada cookie bahkan sebelum kalian melakukan post data, catat cookie yang kalian punya...

2.Coba masukkan valid account pada form forgot password
Jika kalian mendapati cookie baru (berbeda dari sebelumnya) maka situs bisa diasumsikan memiliki kerentanan Session Puzzling.

3.Kalian tinggal masuk ke dashboard atau Home page dengan menggunakan url langsung.

Impact
Broken akses control dimana penyerang dapat login sesi dari user yang baru logut tanpa memasukkan user dan password.
Mungkin itu aja buat hari ini semoga bermanfaat, jika ada pertanyaan atau request artikel, bisa chat via fanspage ya...

Artikel Terbaru