Тампер Дата: Фирефок додатак

Развијаци веб апликација често верују да ће већина корисника пратити правила и користити апликацију како је намењена за кориштење, али како то када када корисник (или хакер ) закрива правила? Шта ако корисник прескочи прекрасан веб интерфејс и почиње да се шири под поклопцем без ограничења које је поставио претраживач?

Шта о Фирефоку?

Фирефок је претраживач за већину хакера због свог плуг-ин фриендли дизајна. Један од најпопуларнијих хакерских алата за Фирефок је додатак назван Тампер Дата. Тампер подаци нису супер компликована алатка, она је само посредник који се убацује између корисника и веб странице или веб апликације које прегледају.

Тампер Дата омогућава хакеру да олуји за завесу да види и збрка са свим ХТТП "магијом" који се одвија иза сцене. Сва та ГЕТс и ПОСТ се могу манипулисати без ограничења наметнутог корисничким интерфејсом који се види у прегледачу.

Шта желите?

Зашто хакери попут Тампер Дата-а толико и зашто би програмери за веб апликације бринули о томе? Главни разлог је то што омогућава особи да омета податке који се шаљу напред и назад између клијента и сервера (дакле име Тампер Дата). Када се покрене Тампер Дата и када се лансира веб апликација или веб локација у Фирефоку, Тампер Дата ће приказати сва поља која омогућавају унос или манипулацију корисника. Хакер онда може промијенити поље на "алтернативну вредност" и послати податке на сервер како би видио како реагује.

Зашто би ово могло бити опасно за апликацију

Рецимо да хакер посјећује веб локацију за куповину и додаје предмет у своју виртуалну корпу за куповину. Програмер веб апликација који је направио корпу за куповину можда је кодирао колу да прихвати вредност од корисника као што је Куантити = "1" и ограничио елемент корисничког интерфејса у падајуће поље које садржи унапред одређене изборе за количину.

Хакер би могао да покуша да користи податке Тампера да заобиђе ограничења падајућег оквира који дозвољавају корисницима само да бирају из скупа вредности као што су "1,2,3,4 и 5. Користећи тампер податке, хакер би могао покушајте унети другу вриједност речи "-1" или можда ".000001".

Ако програмер није исправно кодирао своју рутину валидације уноса, онда би ова вредност "-1" или ".000001" могла да се пређе на формулу која се користи за израчунавање трошкова ставке (нпр. Цена к количина). Ово може проузроковати неочекиване резултате у зависности од тога колико се врши провера грешака и колико верују инвеститор у податке који долазе са клијентске стране. Ако је корпа за куповину лоше кодирана, онда ће хакер можда добити могућег ненамјерног огромног попуста, повраћај производа који нису ни купили, кредит за продавницу или ко зна шта друго.

Могућности злоупотребе веб апликације користећи Тампер Дата су бескрајне. Да сам програмер софтвера, само сазнајући да постоје алати као што је Тампер Дата, тамо би ме одржавало ноћу.

На страни флип-ова, Тампер Дата је одличан алат за програмере који се баве безбедношћу и користе их како би видели како њихове апликације реагују на нападе манипулације података клијената.

Програмери често стварају кораке за кориштење како би се фокусирали на то како ће корисник користити софтвер за постизање циља. Нажалост, често игноришу фактор лошег момка. Програмери апликација требају ставити своје лоље капе и креирати злоупотребу случајева за рачунање хакера користећи алате као што су Тампер Дата.

Тумачки подаци треба да буду део арсенала безбедносног тестирања како би се осигурало да је унос података на клијенту валидиран и верификован пре него што се дозволи да утиче на трансакције и процесе на серверу. Ако програмери не преузму активну улогу у коришћењу алатки као што су Тампер Дата како би видели како њихове апликације реагују на напад, онда они неће знати шта да очекују и могу завршити плаћање рачуна за 60-инчни плазма телевизор који хакер само купили су за 99 центи користећи неисправну корпу за куповину.

За више информација о додатку Тампер Дата фор Фирефок посетите страницу додаци на страници Тампер Дата Фирефок.