Tīmekļa lietojumprogrammu izstrādātāji bieži paļaujas uz to, ka lielākā daļa lietotāju gatavojas ievērot noteikumus un izmantot lietojumprogrammu, kā to paredzēts izmantot, bet kā par to, kad lietotājs (vai hacker) noliek noteikumus? Ko darīt, ja lietotājs izlaiž iztēlošo tīmekļa saskarni un sāk izkļūt zem pārsega bez ierobežojumiem, ko uzliek pārlūks?
Kas par Firefox?
Firefox ir izvēles pārlūkprogramma lielākajai daļai hakeru, jo tas ir plug-in draudzīgs dizains. Viens no populārākajiem pārlūkprogrammas Firefox hakeru rīkiem ir pievienojumprogramma, kuras nosaukums ir "Tamper Data". Tamper Data nav super-sarežģīts rīks, tas ir tikai starpniekserveris, kas ievieto sevi starp lietotāju un tīmekļa vietni vai tīmekļa lietojumprogrammu, kuru viņi pārlūko.
Tamper Data ļauj hakeram mizas atpakaļ aizkaru, lai apskatītu un sajauktos ar visu HTTP "burvju", kas notiek aiz ainas. Visus šos GET un POST var manipulēt bez ierobežojumiem, ko nosaka pārlūkprogrammā redzamais lietotāja interfeiss.
Ko vēlētos?
Tātad, kāpēc hackers kā Tamper Data tik daudz un kāpēc būtu tīmekļa lietojumprogrammu izstrādātājiem rūp par to? Galvenais iemesls ir tas, ka tas ļauj personai manipulēt ar datiem, kas tiek sūtīti atpakaļ un atpakaļ starp klientu un serveri (tātad vārds Tamper Data). Kad tiek uzsākti datu aizsardzība un Firefox tiek uzsākta tīmekļa lietojumprogramma vai vietne, Tamper Data parādīs visus laukus, kas ļauj lietotājam ievadīt vai manipulēt. Pēc tam hakeris var mainīt lauku uz "alternatīvu vērtību" un nosūtīt datus uz serveri, lai uzzinātu, kā tā reaģē.
Kāpēc tas var būt bīstams lietojumam
Sakiet, ka hakeris apmeklē tiešsaistes iepirkšanās vietni un pievieno preci savai virtuālajai iepirkumu grozam. Tīmekļa lietojumprogrammas izstrādātājs, kurš ir izveidojis iepirkumu grozu, var būt kodējis grozu, lai pieņemtu lietotāja vērtību, piemēram, Daudzums = "1" un ierobežoja lietotāja interfeisa elementu nolaižamajā lodziņā, kurā ir iepriekš iestatīti daudzuma iestatījumi.
Hakeris varētu mēģināt izmantot spiegprogrammatūras datus, lai apietu nolaižamajā lodziņā esošos ierobežojumus, kas ļauj lietotājiem izvēlēties tikai tādu vērtību kopu kā 1, 2, 3, 4 un 5. Izmantojot "Tamper Data", hakeris varētu izmēģināt ievadīt citu vērtību, piemēram, "-1" vai varbūt ".000001".
Ja izstrādātājs nav pienācīgi kodējis ievades validācijas rutīnu, tad šī vērtība "-1" vai ".000001" galu galā var tikt nodota formai, ko izmanto, lai aprēķinātu vienuma izmaksas (piem., Cena x daudzums). Tas var radīt negaidītus rezultātus atkarībā no tā, cik daudz kļūdu tiek pārbaudīta un cik daudz uzticas izstrādātājam datu, kas iegūti no klienta puses. Ja iepirkumu grozs ir vāji kodēts, tad hacker var nonākt pie iespējamas neparedzētas lielas atlaides, kompensācijas par produktu, kuru viņi pat nav iegādājušies, veikala kredītu vai kas zina, kas vēl.
Tīmekļa lietojumprogrammas ļaunprātīgas izmantošanas iespējas, izmantojot Tamper Data, ir bezgalīgas. Ja es būtu programmatūras izstrādātājs, tikai zinot, ka tur ir tādi rīki kā Tamper Data, kas tur aizturētu nakti.
Atslēgajā pusē Tamper Data ir lielisks līdzeklis, lai droši apzinātos lietojumprogrammu izstrādātājus varētu izmantot, lai viņi varētu redzēt, kā viņu lietojumprogrammas reaģē uz klienta datu manipulācijas uzbrukumiem.
Izstrādātāji bieži izveido "izmantošanas gadījumus", lai koncentrētos uz to, kā lietotājs varētu izmantot programmatūru, lai sasniegtu mērķi. Diemžēl viņi bieži ignorē slikto pušu faktoru. Lietojumprogrammu izstrādātājiem ir jāuzliek sava sliktā puiša cepures un jāizveido "Nepareizas lietojumprogrammas", lai ņemtu vērā hakerus, izmantojot tādus rīkus kā datu aizsardzība.
Tampera dati ir daļa no viņu drošības pārbaudes arsenāla, lai nodrošinātu, ka klienta ievade tiek apstiprināta un pārbaudīta, pirms tā ir atļauta ietekmēt darījumus un servera puses procesus. Ja izstrādātāji aktīvi nepiedalās tādu rīku izmantošanā kā "Tamper Data", lai redzētu, kā viņu lietojumprogrammas reaģē uz uzbrukumu, tad viņi nezina, ko gaidīt, un galu galā varētu maksāt rēķinu par 60 "plazmas TV, ko tikko nopircis hakeris par 99 centiem, izmantojot savu nepareizu iepirkumu grozu.
