Развивачите на веб апликации често веруваат дека повеќето корисници ќе ги следат правилата и ќе користат апликација како што е наменета да се користи, но како да се случи кога корисникот (или хакер ) ги свиткува правилата? Што ако некој корисник го прескокне фенси веб интерфејсот и започнува да се меша под хаубата без ограничувања наметнати од прелистувачот?
Што е за Firefox?
Firefox е прелистувачот на избор за повеќето хакери поради неговиот приклучок во пријателски дизајн. Еден од популарните хакерски алатки за Firefox е додаток наречен Тампер податоци. Тампер податоци не е суперкомплицирана алатка, туку само посредник кој се вметнува помеѓу корисникот и веб-страницата или веб-апликацијата што ја пребаруваат.
Tamper Data им овозможува на хакерите да ја скрши назад завесата за да ги видите и збрка со сите HTTP "магија" што се случуваат зад сцената. Сите оние GETs и POSTs може да се манипулираат без ограничувања наметнати од корисничкиот интерфејс што се гледа во прелистувачот.
Што им се допаѓа?
Па зошто хакери како Тампер податоци толку многу и зошто развивачите на веб апликации се грижат за тоа? Главната причина е тоа што им овозможува на лицето да ги ублажи податоците што се испраќаат напред и назад помеѓу клиентот и серверот (оттука и името Тампер податоци). Кога ќе се стартува Tamper Data и веб-апликацијата или веб-страницата се стартува во Firefox, Tamper Data ќе ги прикаже сите полиња кои овозможуваат внесување или манипулација со корисник. Хакер потоа може да го промени полето на "алтернативна вредност" и да ги испрати податоците на серверот за да види како реагира.
Зошто ова може да биде опасно за апликација
Велат хакер е во посета на онлајн шопинг сајт и додава ставка во нивната виртуелна количката. Развивачот на веб апликации, кој ја изградил количката, можеби ја кодирал количката за да прифати вредност од корисникот како што е Quantity = "1" и го ограничи елементот на корисничкиот интерфејс на опаѓачкото мени што содржат предодредени селекции за количината.
Хакер би можел да се обиде да ги користи Тајпер податоци за да ги заобиколи ограничувањата на опаѓачкото мени што им дозволуваат на корисниците да избираат од множество на вредности како што се "1,2,3,4 и 5. Користејќи" Тампер податоци ", хакерот може обидете се да внесете поинаква вредност од "-1" или можеби ".000001".
Ако развивачот не ја кодира правилно рутината за валидација на влез, тогаш оваа вредност "-1" или ".000001" би можела на крајот да биде пренесена на формулата што се користи за пресметување на цената на предметот (т.е. Цена x Количина). Ова може да предизвика некои неочекувани резултати во зависност од тоа колку проверка на грешки се случува и колку довербата на развивачот во податоците што доаѓаат од страната на клиентот. Ако количката е слабо кодирана, тогаш хакерот може да заврши со добивање на неочекуван огромен попуст, рефундирање на производ што не го купиле, продавница за кредит или кој знае што друго.
Можностите за злоупотреба на веб-апликација со користење на Тајпер податоци се бесконечни. Ако бев развивач на софтвер, само што знаев дека постојат алатки како Тампер податоци, таму ќе ме држи ноќе.
На флип-страна, Tamper Data е одлична алатка за развивачите на апликации кои се свесни за безбедноста, за да можат да видат како нивните апликации реагираат на напади со манипулации со податоци од страна на клиентите.
Програмерите често создаваат случаи на употреба за да се фокусираат на тоа како корисникот ќе го користи софтверот за да постигне цел. За жал, тие често го игнорираат факторот лошо момче. Развивачите на апликации треба да ги стават своите лоши капи и да создадат случаи на злоупотреба за да ги земат предвид хакерите користејќи алатки како што се Тампер податоци.
Податоците од тајмерот треба да бидат дел од нивниот арсенал за тестирање на безбедноста за да се осигури дека влезот од страната на клиентот е потврден и потврден пред да му биде дозволено да влијае на трансакциите и процесите на серверот. Ако програмерите не преземат активна улога во користењето алатки како што се Тампер податоци за да видат како нивните апликации реагираат на напад, тогаш тие нема да знаат што да очекуваат и би можеле да завршат со плаќање на сметка за 60-инчен плазма телевизор кој хакерот само купи за 99 центи со користење на нивната дефектна количка.
За повеќе информации за Add-on за тајмерот за Firefox, посетете ја страната за додатоци на Firefox на Tamper Data.