Webprogramontwikkelaars vertrou dikwels dat die meeste gebruikers die reëls sal volg en 'n aansoek gebruik soos dit bedoel is om gebruik te word, maar hoe gaan dit met wanneer die gebruiker (of 'n hacker ) die reëls buig? Wat gebeur as 'n gebruiker die fancy webkoppelvlak oorskiet en onder die kap losbars, sonder die beperkinge wat deur die blaaier opgelê word?
Wat oor Firefox?
Firefox is die leser van keuse vir die meeste hackers as gevolg van die plug-in-vriendelike ontwerp. Een van die meer gewilde hacker gereedskap vir Firefox is 'n add-on genaamd Tamper Data. Tamper Data is nie 'n super ingewikkelde instrument nie, dit is bloot 'n proxy wat hom tussen die gebruiker en die webblad of webtoepassing wat hulle besig is, insit.
Tamper Data laat 'n hacker toe om die gordyn terug te trek om te sien en gemors te maak met al die HTTP-magies wat agter die skerms plaasvind. Al die GETs en POST's kan gemanipuleer word sonder die beperkinge wat deur die gebruikerskoppelvlak opgelê word wat in die blaaier voorkom.
Wat om te hou?
So hoekom doen hackers soos Tamper Data so baie en hoekom moet webprogramontwikkelaars omgee? Die hoofrede is dat dit 'n persoon moontlik maak om te peuter met die data wat heen en weer gestuur word tussen die kliënt en die bediener (vandaar die naam Tamper Data). Wanneer Tamper Data begin en 'n webprogram of webwerf in Firefox geloods word, sal Tamper Data alle velde vertoon wat gebruikersinvoer of manipulasie toelaat. 'N hacker kan dan 'n veld verander na 'n "alternatiewe waarde" en stuur die data na die bediener om te sien hoe dit reageer.
Hoekom dit moontlik vir 'n aansoek gevaarlik kan wees
Sê dat 'n hacker 'n aanlyn inkopiesite besoek en 'n item by hul virtuele inkopiemandjie voeg. Die webprogramontwikkelaar wat die inkopiemandjie gebou het, kan die kar gekodeer het om 'n waarde van die gebruiker soos Quantity = "1" te aanvaar en die gebruikerskoppelvlakelement in 'n aftrekkassie met voorafbepaalde keuses vir die hoeveelheid te beperk.
'N Hacker kan probeer om Tamper Data te gebruik om die beperkinge van die aftrekkassie te omseil, wat slegs gebruikers toelaat om uit 'n stel waardes soos "1,2,3,4 en 5 te kies. Met behulp van Tamper Data kan die hacker probeer om 'n ander waarde van sê "-1" of dalk ".000001" in te voer.
As die ontwikkelaar nie hul insetvalideringsroetine behoorlik gekodeer het nie, kan hierdie waarde "-1" of ".000001" uiteindelik oorgedra word na die formule wat gebruik word om die koste van die item te bereken (dws Prys x Hoeveelheid). Dit kan 'n paar onverwagte resultate tot gevolg hê, afhangende van hoeveel fout kontrole aangaan en hoeveel vertroue die ontwikkelaar het in die data wat van die kliënt se kant af kom. As die winkelwagentje swak gekodeer is, kan die hacker uiteindelik 'n moontlike onbedoelde groot afslag kry, 'n terugbetaling op 'n produk wat hulle nie eens gekoop het nie, 'n winkelkrediet of wie weet wat anders.
Die moontlikhede van misbruik van 'n webprogram met behulp van Tamper Data is eindeloos. As ek 'n sagteware-ontwikkelaar was, sou ek net in die nag weet dat daar instrumente soos Tamper Data daar buite was.
Aan die flip kant is Tamper Data 'n uitstekende hulpmiddel vir sekuriteitsbewuste programontwikkelaars om te gebruik sodat hulle kan sien hoe hul toepassings reageer op die kliënt se data manipulasie aanvalle.
Ontwikkelaars skep dikwels Gebruiksgevalle om te fokus op hoe 'n gebruiker die sagteware sal gebruik om 'n doel te bereik. Ongelukkig ignoreer hulle dikwels die slegte oufaktor. App-ontwikkelaars moet hul slegte man-hoede aanskakel en misbruikgevalle skep om rekening te hou met hackers wat gereedskap soos Tamper Data gebruik.
Tamper Data moet deel wees van hul sekuriteit toets arsenaal om te verseker dat die kliënt-kant insette valideer en geverifieer word voordat dit die transaksies en bedienerprosesse kan beïnvloed. As ontwikkelaars nie 'n aktiewe rol speel in die gebruik van gereedskap soos Tamper Data om te sien hoe hul toepassings reageer op aanval nie, sal hulle nie weet wat om te verwag nie en kan die rekening vir 60-duim-plasma-TV betaal word dat die hacker net gekoop vir 99 sent deur hul gebrekkige inkopie mandjie te gebruik.
Vir meer inligting oor die byvoeging van Tamper Data for Firefox, besoek die Add-on-bladsy van Tamper Data Firefox.