Tīmekļa lietojumprogrammu izstrādātāji bieži paļaujas uz to, ka lielākā daļa lietotāju gatavojas ievērot noteikumus un izmantot lietojumprogrammu, kā to paredzēts izmantot, bet kā par to, kad lietotājs (vai hacker ) noliek noteikumus? Ko darīt, ja lietotājs izlaiž iztēlošo tīmekļa saskarni un sāk izkļūt zem pārsega bez ierobežojumiem, ko uzliek pārlūks?
Kas par Firefox?
Firefox ir izvēles pārlūkprogramma lielākajai daļai hakeru, jo tas ir plug-in draudzīgs dizains. Viens no populārākajiem pārlūkprogrammas Firefox hakeru rīkiem ir pievienojumprogramma, kuras nosaukums ir "Tamper Data". Tamper Data nav super-sarežģīts rīks, tas ir tikai starpniekserveris, kas ievieto sevi starp lietotāju un tīmekļa vietni vai tīmekļa lietojumprogrammu, kuru viņi pārlūko.
Tamper Data ļauj hakeram mizas atpakaļ aizkaru, lai apskatītu un sajauktos ar visu HTTP "burvju", kas notiek aiz ainas. Visus šos GET un POST var manipulēt bez ierobežojumiem, ko nosaka pārlūkprogrammā redzamais lietotāja interfeiss.
Kas jums patīk?
Tātad, kāpēc hackers kā Tamper Data tik daudz un kāpēc būtu tīmekļa lietojumprogrammu izstrādātājiem rūp par to? Galvenais iemesls ir tas, ka tas ļauj personai manipulēt ar datiem, kas tiek sūtīti atpakaļ un atpakaļ starp klientu un serveri (tātad vārds Tamper Data). Kad tiek uzsākti datu aizsardzība un Firefox tiek uzsākta tīmekļa lietojumprogramma vai vietne, Tamper Data parādīs visus laukus, kas ļauj lietotājam ievadīt vai manipulēt. Pēc tam hakeris var mainīt lauku uz "alternatīvu vērtību" un nosūtīt datus uz serveri, lai uzzinātu, kā tā reaģē.
Kāpēc tas var būt bīstams lietojumam
Sakiet, ka hakeris apmeklē tiešsaistes iepirkšanās vietni un pievieno preci savai virtuālajai iepirkumu grozam. Tīmekļa lietojumprogrammas izstrādātājs, kurš ir izveidojis iepirkumu grozu, var būt kodējis grozu, lai pieņemtu no lietotāja vērtību, piemēram, Daudzums = "1", un lietotāja saskarnes elementu ierobežoja nolaižamajā lodziņā, kurā bija iepriekš iestatīti daudzuma iestatījumi.
Hakeris varētu mēģināt izmantot datu ielādes datus, lai apietu nolaižamajā lodziņā noteiktos ierobežojumus, kas ļauj lietotājiem izvēlēties tikai tādu vērtību kopu kā "1,2,3,4 un 5. Izmantojot" Tamper Data ", hacker varētu mēģiniet ievadīt citu vērtību, piemēram, "-1" vai varbūt ".000001".
Ja izstrādātājs nav pienācīgi kodējis ievades validācijas kārtību, tad šī vērtība "-1" vai ".000001", visticamāk, varētu tikt nodota formai, ko izmanto, lai aprēķinātu vienības cenu (ti, Cena x daudzums). Tas var radīt negaidītus rezultātus atkarībā no tā, cik daudz kļūdu tiek pārbaudīta un cik daudz uzticas izstrādātājam datu, kas iegūti no klienta puses. Ja iepirkumu grozs ir vāji kodēts, tad hacker var nonākt pie iespējamas neparedzētas lielas atlaides, kompensācijas par produktu, kuru viņi pat nav iegādājušies, veikala kredītu vai kas zina, kas vēl.
Tīmekļa lietojumprogrammas ļaunprātīgas izmantošanas iespējas, izmantojot Tamper Data, ir bezgalīgas. Ja es būtu programmatūras izstrādātājs, tikai zinot, ka tur ir tādi rīki kā Tamper Data, kas tur aizturētu nakti.
Atslēgajā pusē Tamper Data ir lielisks līdzeklis, lai droši apzinātos lietojumprogrammu izstrādātājus varētu izmantot, lai viņi varētu redzēt, kā viņu lietojumprogrammas reaģē uz klienta datu manipulācijas uzbrukumiem.
Izstrādātāji bieži izveido lietojuma gadījumus, lai koncentrētos uz to, kā lietotājs izmanto programmatūru, lai sasniegtu mērķi. Diemžēl viņi bieži ignorē slikto pušu faktoru. Lietojumprogrammu izstrādātājiem ir jāuzliek sava sliktā puiša cepures un jāizveido ļaunprātīgas izmantošanas gadījumi, lai ņemtu vērā hakerus, izmantojot tādus rīkus kā datu aizsardzība.
Tampera dati ir daļa no viņu drošības pārbaudes arsenāla, lai nodrošinātu, ka klienta ievade tiek apstiprināta un pārbaudīta, pirms tā ir atļauta ietekmēt darījumus un servera puses procesus. Ja izstrādātāji aktīvi nepiedalās tādu rīku izmantošanā kā "Tamper Data", lai redzētu, kā viņu lietojumprogrammas reaģē uz uzbrukumu, tad viņi nezina, ko gaidīt, un galu galā varētu maksāt rēķinu par 60 collu plazmas TV, kuru tikai hacker nopērkot 99 centus, izmantojot savu nepareizu iepirkumu grozu.
Lai iegūtu papildinformāciju par Firefox pievienojumprogrammu Tamper Data, apmeklējiet vietni Tamper Data Firefox Add-on Page.