Programeri za web aplikacije često vjeruju da će većina korisnika slijediti pravila i upotrebljavati aplikaciju kao što je namijenjena upotrebi, ali kako o tome kada korisnik (ili haker ) savijanja pravila? Što ako korisnik preskoči fancy web sučelje i počne se zabavljati ispod nape bez ograničenja koje nameće preglednik?
Što je s Firefoxom?
Firefox je preglednik koji je izbor za većinu hakera zbog svojeg dodatka prijateljskog dizajna. Jedan od popularnijih hakerskih alata za Firefox je dodatak pod nazivom Tamper Data. Nadzor podataka nije super kompliciran alat, već samo proxy koji se umetne među korisnike i web stranicu ili web aplikaciju koju pregledavaju.
Tamper Data omogućuje hakeru da ukloni zavjesu kako bi vidjeli i zabrljali sve HTTP "magije" koje se događaju iza scene. Svi ti GET i POST mogu se manipulirati bez ograničenja koje nameće korisničko sučelje koje se vidi u pregledniku.
Što vam se sviđa?
Pa zašto hakeri vole Tamper Data toliko i zašto bi programeri web aplikacija trebali brinuti o tome? Glavni razlog je taj što korisniku dopušta manipulaciju podataka koji se šalju natrag i naprijed između klijenta i poslužitelja (stoga naziv Tamper Data). Kada se pokrene Tamper Data i pokrenuta web-aplikacija ili web-lokacija u Firefoxu, podaci Tamper će prikazati sva polja koja omogućuju ulaz ili manipulaciju korisnika. Haker može promijeniti polje na "alternativnu vrijednost" i poslati podatke poslužitelju da vidi kako reagira.
Zašto bi to moglo biti opasno za prijavu
Recimo da haker posjećuje web mjesto za kupnju i dodaje stavku u svoju virtualnu košaricu za kupnju. Razvojni programer web aplikacija koji je izgradio košaricu za kupnju mogao je kodirati košaricu kako bi prihvatio vrijednost korisnika kao što je Quantity = "1" i ograničio element korisničkog sučelja u padajući okvir koji sadrži unaprijed određene odabire za količinu.
Haker bi mogao pokušati upotrijebiti podatke Tamper za zaobilaženje ograničenja padajućeg okvira koji samo korisnicima omogućuju odabir iz skupova vrijednosti kao što su "1,2,3,4 i 5. Korištenje Tamper podataka, haker bi mogao pokušajte unijeti drugačiju vrijednost reći "-1" ili možda ".000001".
Ako programer nije ispravno kodovao svoju rutinu validacije unosa, tada bi ova vrijednost "-1" ili ".000001" mogla završiti prosljeđivanjem na formulu kojom se izračunava trošak stavke (tj. Cijena x Količina). To bi moglo prouzročiti neke neočekivane rezultate ovisno o tome koliko se provjera pogrešaka događa i koliko povjerenje razvojnog programera ima u podacima s klijentske strane. Ako je košarica loše kodirana, haker može završiti s mogućim nenamjernim ogromnim popustom, povratom novca na proizvod koji nisu ni kupili, prodajnom saldu ili tko zna što drugo.
Mogućnosti zlouporabe web aplikacije pomoću Tamper podataka su beskrajne. Da sam softver razvijen od strane softvera, samo znajući da postoje alati kao što su Tamper podataka vani bi me držali pod noći.
Na obrubu, podaci Tamper podataka izvrstan su alat za razvojno programere aplikacija za sigurnost kako bi mogli vidjeti kako njihovi programi reagiraju na napade prilikom manipulacije podacima na strani klijenta.
Razvijatelji često stvaraju korisničke slučajeve kako bi se usredotočili na to kako će korisnik koristiti softver kako bi postigao cilj. Na žalost, često ignoriraju faktora lošeg tipa. Programeri aplikacija trebaju staviti šešire njihovog lošeg čovjeka i stvoriti slučajeve zloupotrebe na račun hakera pomoću alata kao što su podaci Tamper.
Nadzor podataka trebaju biti dio njihovog arsenala sigurnosnog testiranja kako bi se osiguralo provjera valjanosti i potvrđivanja unosa na strani klijenta prije nego što mu dopušta utjecaj na transakcije i na procese na strani poslužitelja. Ako programeri ne preuzmu aktivnu ulogu u korištenju alata kao što su Tamper Data kako bi vidjeli kako njihovi programi reagiraju na napad, onda neće znati što očekivati i mogli bi platiti račun za plazma plazma od 60 inča koji haker jednostavno kupili su 99 centi koristeći svoju neispravnu košaricu za kupnju.
Dodatne informacije o Dodatku za zaštitu od tamnice podataka za Firefox potražite u odjeljku Dodatna web-stranica za Tamper Data Firefox.