Tamper podaci: Firefox dodatak

Programeri web aplikacija često veruju da će većina korisnika pratiti pravila i koristiti aplikaciju kako je namenjena za korištenje, ali kako to kada kada korisnik (ili haker ) zakriva pravila? Šta ako korisnik preskoči prekrasan web interfejs i počne da se miješa ispod poklopca bez ograničenja koje nam postavlja pretraživač?

Šta je sa Firefoxom?

Firefox je pretraživač za većinu hakera zbog svog plug-in friendly dizajna. Jedan od najpopularnijih hakerskih alata za Firefox je dodatak nazvan Tamper Data. Tamper Data nije super komplikovano sredstvo, već samo posrednik koji se ubacuje između korisnika i veb stranice ili veb aplikacije koje oni pregledaju.

Tamper Data omogućava hakeru da olakšava zavesu da vidi i zbuni sve HTTP "magije" koja se odvija iza scene. Sva ta GETs i POST se mogu manipulisati bez ograničenja nametnutog korisničkim interfejsom koji se vidi u pregledaču.

Šta želite?

Zašto hakeri poput Tamper Data-a toliko i zašto bi programeri za web aplikacije brinuli o tome? Glavni razlog je to što omogućava osobi da ometa podatke koji se šalju napred i nazad između klijenta i servera (dakle ime Tamper Data). Kada se pokrene Tamper Data i kada se pokrene veb aplikacija ili veb lokacija u Firefoxu, Tamper Data će prikazati sva polja koja omogućavaju korisničkom unosu ili manipulaciji. Haker onda može promijeniti polje na "alternativnu vrijednost" i poslati podatke na server kako bi vidio kako to reaguje.

Zašto je ovo možda opasno za aplikaciju

Recimo da haker posjećuje web lokaciju za kupovinu i dodaje predmet u svoju virtualnu korpu za kupovinu. Programer web aplikatora koji je napravio korpu za kupovinu možda je kodirao kolu da prihvati vrednost od korisnika kao što je Quantity = "1" i ograničio element korisničkog interfejsa u padajuće polje koje sadrži unapred određene izbore za količinu.

Haker bi mogao da pokuša da koristi podatke o tamperu da zaobiđe ograničenja padajućeg okvira koji samo dozvoljavaju korisnicima da biraju od skupa vrednosti kao što su "1,2,3,4 i 5. Koristeći podatke o tačkama, haker bi mogao pokušajte uneti drugu vrijednost reči "-1" ili možda ".000001".

Ako programer nije pravilno kodirao svoju rutinu validacije unosa, onda bi ova vrednost "-1" ili ".000001" mogla da bude pređena na formulu koja se koristi za izračunavanje troškova stavke (npr. Cena x količina). Ovo može prouzrokovati neočekivane rezultate u zavisnosti od toga koliko se proverava greške i koliko veruju investitor u podatke koji dolaze sa klijentske strane. Ako je korpa za kupovinu loše kodirana, onda će haker možda imati mogućeg neadekvatnog ogromnog popusta, povraćaj proizvoda koji nije ni kupio, kredit za prodavnicu ili ko zna šta drugo.

Mogućnosti zloupotrebe web aplikacije koristeći Tamper Data su beskrajne. Da sam programer softvera, samo saznajući da postoje alati kao što su Tamper Data, tamo bi me održavalo noću.

Na strani flip-ova, Tamper Data je odličan alat za programere koji osjećaju sigurnost i koriste ih tako da vide kako njihove aplikacije odgovaraju na napade manipulacije podataka klijenata.

Programeri često stvaraju korake za korištenje kako bi se fokusirali na to kako će korisnik koristiti softver za postizanje cilja. Nažalost, često ignorišu faktor lošeg momka. Programeri aplikacija moraju da stavljaju svoje ljude na lolje tipove i kreiraju slučajeve zloupotrebe koraka za računanje hakera pomoću alatki kao što su Tamper Data.

Podaci o tamperu trebalo bi da budu deo arsenala bezbednosnog testiranja kako bi se osiguralo da je unos podataka na klijentu validiran i verifikovan pre nego što se dozvoli da utiče na transakcije i procese na serveru. Ako programeri ne preuzmu aktivnu ulogu u korišćenju alatki kao što je Tamper Data kako bi vidjeli kako njihove aplikacije odgovaraju na napad, onda oni neće znati šta očekivati ​​i mogli bi završiti plaćanje računa za 60-inčni plazma televizor koji je haker samo kupili za 99 centi koristeći neispravnu korpu za kupovinu.

Za više informacija o dodatku Tamper Data for Firefox posetite stranicu dodaci na stranici Tamper Data Firefox.