Veebirakenduse arendajad usuvad tihti, et enamik kasutajaid kavatseb eeskirju järgida ja kasutada rakendust nii, nagu seda kavatsetakse kasutada, vaid ka seda, kuidas kasutaja (või häkker ) paindub reegleid? Mis juhtub, kui kasutaja jätab välja väljamõeldud veebiliidese ja hakkab rämpsposti alla minema ilma brauseri poolt kehtestatud piiranguteta?
Mis on Firefoxist?
Tänu oma plug-in-sõbraliku disaini jaoks on Firefox enamiku häkkerite jaoks brauseriks valik. Üks Firefoxi populaarseimatest häkkerite tööriistadest on täiendus nimega Tamper Data. Tamper Data ei ole väga keeruline tööriist, vaid lihtsalt puhverserver, mis lisab end kasutaja ja veebisaidi või veebirakenduse vahel, mida nad sirvivad.
Tamper Data võimaldab häkkeril kardina tagasi koputada, et vaadata ja segi ajada kõigi stseenide taga aset leidvate HTTP "maagiaga". Kõiki neid GET-e ja POST-sid saab manipuleerida ilma brauseris nähtava kasutajaliidese piiranguteta.
Mis meeldib?
Miks on häkkerid nii palju Tamper Datai ja miks peaksid veebirakenduse arendajad selle eest hoolt kandma? Peamine põhjus on see, et see võimaldab isikul mõjutada kliendi ja serveri vahel edasi-tagasi edastatavaid andmeid (seega nime Tamper Data). Kui käivitatakse Tamper Data ja Firefox käivitab veebirakenduse või veebisaidi, kuvatakse Tamper Data kõikides väljades, mis võimaldavad kasutaja sisendit või manipuleerimist. Häkker saab seejärel muuta välja "alternatiivseks väärtuseks" ja saata andmed serverile, et näha, kuidas see reageerib.
Miks see võib olla taotlusele ohtlik
Öelge, et häkker külastab veebipoodide ostukeskust ja lisab selle oma virtuaalse ostukorvi juurde. Ostukorvi ehitanud veebirakenduse arendaja võib koodi korvata, et aktsepteerida kasutajalt väärtust, näiteks Kogus = "1", ja piiras kasutajaliidese elementi rippmenüüst, mis sisaldas eelnevalt kindlaksmääratud koguseid.
Häkker võib üritada kasutada Tamper Data, et vältida rippmenüüst piiranguid, mis lubavad kasutajatel ainult sellistest väärtustest nagu "1,2,3,4 ja 5" valida. Häkker võib kasutada Tamper Data proovige sisestada erineva väärtusega öelda "-1" või ehk ".000001".
Kui arendaja pole õigesti kodeerinud oma sisestamise valideerimise rutiini, võib see väärtus "-1" või ".000001" lõpuks olla üle antud valemi jaoks, mida kasutatakse objekti maksumuse arvutamiseks (st hind x kogus). See võib põhjustada mõningaid ootamatuid tulemusi olenevalt sellest, kui palju vigu kontrollitakse ja kui palju on arendajatel kliendipoolsetes andmetes usaldusväärne. Kui ostukorv on halvasti kodeeritud, võib häkker saada lõpuks võimaliku tahtmatu suure allahindluse, tagastama toote, mida nad isegi ei osta, kaupluse krediiti või kes teab mida veel.
Veebirakenduse kuritarvitamise võimalused, kasutades Tamper Datai, on lõputud. Kui oleksin tarkvaraarendaja, teadsin, et seal on selliseid tööriistu nagu Tamper Data, mis hoiab mind öösel.
Tagaküljel on Tamper Data suurepärane vahend turvapõhiste rakenduste arendajatele kasutamiseks, et nad saaksid näha, kuidas nende rakendused reageerivad kliendipoolsetele andmehalduse rünnakutele.
Arendajad loovad tihti kasutusjuhtumid, et keskenduda sellele, kuidas kasutaja kasutab tarkvara eesmärgi saavutamiseks. Kahjuks ignoreerivad nad sageli halva teguri tegurit. Rakenduste arendajad peavad oma halva kuju mütsid kasutama ja looma väärkasutamise juhtumeid, et arvestada häkkeritega, kasutades selliseid tööriistu nagu Tamper Data.
Tamper Data peaks olema osa nende turvalisuse testimise arsenalist, et tagada kliendipoolse sisendi valideerimine ja kinnitamine, enne kui see lubab mõjutada tehinguid ja serveripoolseid protsesse. Kui arendajad ei võta aktiivset rolli sellistes tööriistades nagu Tamper Data, et näha, kuidas nende rakendused reageerivad rünnakule, siis nad ei tea, mida oodata võiks 60-tollise plasmatelevi draama eest maksta, et häkker lihtsalt ostetud 99 senti oma vigase ostukorvi kasutades.
Lisateavet Firefoxi Tamper Data Add-on kohta leiate Tamper Data Firefoxi lisandmoodulist.