Session Hijacking

Seperti diuraikan sebelumnya, cookies umumnya digunakan untuk merekam ID user selama proses browsing berlangsung. Hal ini membuka peluang untuk terjadinya session hijacking. Session hijacking merupakan aksi pengambilan kendali session milik user lain setelah sebelumnya “pembajak” berhasil memperoleh autentifikasi ID session yang biasanya tersimpan dalam cookies. Session hijacking menggunakan metode captured, brute forced atau reserve enggineered guna memperoleh ID session, yang untuk selanjutnya pembajak memegang kendali atas session yang dimiliki oleh user lain tersebut selama session berlangsung [ ].

HTTP merupakan protokol yang stateless, sehingga perancang aplikasi web mengembangkan suatu cara untuk menelusuri suatu state diantara user-user yang terkoneksi secara multiple. Aplikasi menggunakan session untuk menyimpan parameter-parameter yang relevan terhadap user. Session akan terus ada pada server selama user masih aktif / terkoneksi. Session akan otomatis dihapus jika user logout atau melampaui batas waktu koneksi. Karena sifatnya ini, session dapat dimanfaatkan oleh seorang hacker untuk melakukan session hijacking.