A webes alkalmazások fejlesztői gyakran bízik abban, hogy a legtöbb felhasználó követni fogja a szabályokat, és felhasználja az alkalmazás használatát, de mi van akkor, ha a felhasználó (vagy a hacker ) hajlik a szabályokra? Mi van akkor, ha a felhasználó kihagyja a fantasztikus webes felületet és elindul a csomagtartó alatt a böngésző kényszere nélkül?
Mi a helyzet a Firefox-szal?
A Firefox a böngésző a legtöbb hacker számára a plug-inbarát kialakításának köszönhetően. A Firefox egyik legnépszerűbb hacker eszköze a Tamper Data nevű kiegészítő. A Szabotázsadatok nem szuper bonyolult eszköz, hanem csak egy proxy, amely beilleszkedik a felhasználó és a böngészés alatt álló webhely vagy webes alkalmazás közé.
A szabotázs adatok lehetővé teszik a hacker számára, hogy lehúzza a függönyt, hogy megnézze és zavarja az összes HTTP "mágikus" jelenetet a színfalak mögött. Mindezek a GET-ek és POST-ek a böngészőben megjelenő felhasználói felület által megszabott korlátozások nélkül manipulálhatók.
Mi tetszik?
Tehát miért annyira a hackerek, mint a Tamper adatok, és miért kellene a webes alkalmazások fejlesztői foglalkozniuk vele? Ennek fő oka az, hogy lehetővé teszi egy személy számára, hogy az ügyfél és a szerver között küldött adatokat (így a Tamper adatok nevét) meghamisítsa. Amikor a Szabotázsadatok elindulnak, és a Firefoxban elindul egy internetes alkalmazás vagy weboldal, a Tamperadatok megmutatják az összes olyan mezőt, amelyek lehetővé teszik a felhasználó bevitelét vagy manipulálását. A hacker ezután megváltoztathatja egy mezőt egy "alternatív értékre", és elküldi az adatokat a kiszolgálónak, hogy megtudja, hogyan reagál.
Miért lehet veszélyes az alkalmazásra?
Mondja, hogy egy hacker meglátogatja az online vásárlási webhelyet, és hozzáad egy elemet a virtuális bevásárlókosarához. A bevásárlókosárat építő webes alkalmazás fejlesztője kódoltathatja a kosarat, hogy elfogadja a felhasználó értékét, például a Quantity = "1" értéket, és korlátozza a felhasználói felület elemét egy olyan legördülő menüre, amely előre meghatározott választásokat tartalmaz a mennyiséghez.
A hacker megpróbálhatja használni a szabotázsadatokat, hogy megkerülje a legördülő fiók korlátozásait, amelyek csak akkor engedhetik meg a felhasználókat, hogy válasszanak olyan értékkészletek közül, mint például az "1,2,3,4 és 5. A szabotázsadatok használata esetén a hacker próbálj meg más értéket adni "-1" -nek vagy talán ".000001" -nek.
Ha a fejlesztő nem megfelelően kódolta bemeneti érvényesítési rutinát, akkor ez a "-1" vagy ".000001" érték valószínűleg befejeződhet az elem költségének kiszámításához használt képletnek (azaz az Ár x Mennyiségnek). Ez véletlenszerű eredményeket okozhat attól függően, hogy mennyi hibaellenőrzés zajlik és mennyi bizalom a fejlesztőnek az ügyféloldalon lévő adatokban. Ha a bevásárlókocsi rosszul van kódolva, akkor a hacker végül esetleges nem szándékolt hatalmas árengedményt kaphat, egy olyan termékre vonatkozó visszatérítést, amelyet még csak nem is vásárolt, nem vásárolt, vagy aki tudja, mi mást.
A webes alkalmazás törékeny használatának lehetőségei a Tamper adatok használatával végtelenek. Ha szoftverfejlesztő volnék, csak tudva, hogy van olyan eszköz, mint a Tamper adatok, ott éjjel megtartaná.
A flip-side-on a Tamper Data egy kiváló eszköz a biztonsági tudatos alkalmazások fejlesztőinek használatára, hogy láthassák, hogyan reagálnak alkalmazások az ügyféloldali adatkezelési támadásokra.
A fejlesztők gyakran hozzon létre felhasználási eseteket, hogy összpontosítsanak arra, hogy a felhasználó milyen módon használja a szoftvert a cél eléréséhez. Sajnos gyakran figyelmen kívül hagyják a rosszfiú tényezőt. Az alkalmazásfejlesztőknek fel kell venniük a rosszfiúk kalapjaikat, és meg kell hozniuk a visszaélések kezelésére szolgáló eseteket, hogy figyelembe vegyék a hackereket olyan eszközökkel, mint a szabotázsadatok.
A szabotázsadatoknak szerepelniük kell biztonsági tesztelési arzenáljukon annak érdekében, hogy biztosítsák az ügyféloldali bevitel érvényesítését és ellenőrzését, mielőtt befolyásolná az ügyleteket és a szerveroldali folyamatokat. Ha a fejlesztők nem vállalnak aktív szerepet az olyan eszközök használatában, mint a szabotázsadatok, hogy megvizsgálják, hogyan reagálnak az alkalmazások a támadásra, akkor nem fogják tudni, hogy mire számíthatnak, és a 60 hüvelykes plazma TV-számla kifizetését a hacker 99 centért vásárolták meg hibás bevásárlókocsijukat.
A szabotázsadat-kiegészítőkről további információért látogasson el a szabotázsadatok Firefox kiegészítő oldalára.