Vývojári webových aplikácií často dôverujú tomu, že väčšina používateľov sa bude riadiť pravidlami a bude používať aplikáciu tak, ako je určená na používanie, ale čo keď používateľ (alebo hacker ) ohýbá pravidlá? Čo ak používateľ vynechá fantastické webové rozhranie a začne sa preháňať pod kapucňou bez obmedzení, ktoré prehliadač vyžaduje?
Čo je to o Firefoxe?
Firefox je pre väčšinu hackerov vhodným prehliadačom, pretože je ideálny pre plug-iny. Jeden z najpopulárnejších hackerských nástrojov pre Firefox je doplnok s názvom Tamper Data. Tamper Data nie je veľmi komplikovaný nástroj, je to len proxy, ktoré sa vkladá medzi používateľom a webovou alebo webovou aplikáciou, ktorú prehliadajú.
Tamper Data umožňuje hackerovi odlepiť záclonu, aby si ju pozrela a zabila so všetkými HTTP "magic", ktoré sa konali za zákulisím. Všetky tieto GET a POST môžu byť manipulované bez obmedzení, ktoré vyplývajú z používateľského rozhrania videného v prehliadači.
Čo sa vám páči?
Tak prečo hackeri ako Tamper Data tak veľa a prečo by sa vývojári webových aplikácií mali o ne starať? Hlavným dôvodom je to, že umožňuje osobe manipulovať s údajmi, ktoré sa posielajú medzi klientom a serverom (teda názov Tamper Data). Keď sa začnú tamperové dáta a vo Firefoxe sa spustí webová aplikácia alebo webová stránka, Tamper Data zobrazí všetky polia, ktoré umožňujú vstup alebo manipuláciu používateľom. Hacker potom môže zmeniť pole na "alternatívnu hodnotu" a odoslať dáta na server, aby zistil, ako reaguje.
Prečo by to mohlo byť pre aplikáciu nebezpečné
Povedzte, že hacker navštevuje internetovú stránku na nákup a pridá do svojho virtuálneho nákupného košíka položku. Vývojár webových aplikácií, ktorý postavil nákupný košík, mohol kódovať vozík, aby prijal hodnotu od používateľa, napríklad množstvo = "1" a obmedzil prvok používateľského rozhrania na rozbaľovaciu schránku obsahujúcu vopred určené výbery množstva.
Hacker by sa mohol pokúsiť použiť Tamper Data na obchádzanie obmedzení rozbaľovacieho poľa, ktoré umožňujú používateľom iba vybrať si z množiny hodnôt ako "1,2,3,4 a 5. Použitie tamperových dát, hacker mohol pokúste sa zadať inú hodnotu, napríklad "-1" alebo ".000001".
Ak vývojár nesprávne nekóduje svoje rutiny na overenie vstupov, potom by táto hodnota "-1" alebo ".000001" mohla byť prenesená do vzorca použitého na výpočet ceny položky (tj Cena x Množstvo). To môže spôsobiť neočakávané výsledky v závislosti od toho, koľko kontroly chýb prebieha a akú dôveru má vývojár v údajoch prichádzajúcich od klienta. Ak je nákupný košík chybne kódovaný, hacker môže skončiť s možnou nezamýšľajúcou obrovskou zľavou, vrátením platby za produkt, ktorý ani nezískal, úver v obchode alebo kto vie čo ďalej.
Možnosti zneužitia webovej aplikácie pomocou údajov Tamper sú nekonečné. Keby som bol vývojárom softvéru, vedel by som, že existujú nástroje ako tamperové dáta, ktoré by ma udržali v noci.
Na druhej strane Tamper Data je vynikajúci nástroj pre vývojárov aplikácií orientovaných na bezpečnosť, aby mohli používať, aby zistili, ako ich aplikácie reagujú na útoky manipulácie s údajmi na strane klienta.
Vývojári často vytvárajú Použitie prípadov, aby sa sústredili na to, ako by používatelia používali softvér na dosiahnutie cieľa. Žiaľ, často ignorujú faktor zlého chlapíka. Vývojári aplikácií musia dať na seba svoje zlomyseľné klobúky a vytvoriť prípady zneužitia, ktoré účtujú hackerom pomocou nástrojov ako Tamper Data.
Tamper Data by mali byť súčasťou ich arzenálu bezpečnostných testov, aby sa zabezpečilo, že vstup na strane klienta bude overený a overený skôr, než bude mať vplyv na transakcie a procesy na strane servera. Ak vývojári nebudú mať aktívnu úlohu pri používaní nástrojov, ako sú Tamper Data, aby zistili, ako ich aplikácie reagujú na útok, potom nevedia, čo očakávať a mohli by skončiť platiť účet za 60-palcovú plazmovú televíziu, ktorú hacker len kúpili za 99 centov s použitím chybného nákupného košíka.
Ďalšie informácie o doplnku Tamper Data for Firefox nájdete na stránke doplnku Tamper Data Firefox.