Web-sovellusten kehittäjät luottavat usein siihen, että useimmat käyttäjät noudattavat sääntöjä ja käyttävät sovellusta sellaisena kuin niitä on tarkoitus käyttää, mutta miten käyttäjä (tai hakkeri ) taipuu sääntöjä? Entä jos käyttäjä ohittaa fancy-web-käyttöliittymän ja alkaa ryöstää hupparin alla ilman selaimen asettamia rajoituksia?
Entä Firefox?
Firefox on selaimen valinta useimmille hakkereille, koska se on plug-in-ystävällinen muotoilu. Yksi suosituimmista hakkerointityökaluista Firefoxille on add-on nimeltä Tamper Data. Tamper Data ei ole erittäin monimutkainen työkalu, vaan se on vain välityspalvelin, joka lisätään käyttäjän ja verkkosivuston tai verkkosovelluksen välillä, jota he selailevat.
Tamper Data -palvelun avulla hakkeri voi kuorata verhon katsella ja häiritä kaikkia HTTP: n "taikaa", joka tapahtuu kulissien takana. Kaikki nämä GETit ja POSTit voidaan manipuloida ilman selaimen käyttöliittymän asettamia rajoituksia.
Mitä haluat?
Joten miksi hakkereita kuten Tamper Data niin paljon ja miksi web-sovellusten kehittäjät huolta siitä? Tärkein syy on se, että henkilö voi muuttaa palvelimen ja palvelimen välillä lähetettäviä tietoja (tästä syystä nimi Tamper Data). Kun Tamper Data käynnistetään ja Firefoxissa käynnistetään verkkosovellus tai verkkosivusto, Tamper Data näyttää kaikki kentät, jotka mahdollistavat käyttäjien syöttämisen tai manipuloinnin. Hakkeri voi sitten muuttaa kentän "vaihtoehtoiseksi arvoksi" ja lähettää tiedot palvelimelle nähdäkseen, miten se reagoi.
Miksi tämä voi olla vaarallinen sovellukselle
Sano, että hakkeri käy verkkokauppasivustolla ja lisää kohteen virtuaaliseen ostoskoriin. Ostoskorin rakentanut verkkosovelluskehittäjä voi olla koodattu kori hyväksyä arvo käyttäjältä, kuten Quantity = "1", ja rajoitti käyttöliittymän elementin pudotusvalikkoon, joka sisältää ennalta määritetyt määrälliset valinnat.
Hakkeri voi yrittää käyttää Tamper Data -ohjelmaa ohittaakseen pudotusvalikon rajoitukset, joiden avulla käyttäjät voivat valita vain joukon arvoja, kuten "1,2,3,4 ja 5. Käyttämällä Tamper Data -tietoja hakkeri voisi yritä syöttää eri arvo "-1" tai ehkä ".000001".
Jos kehittäjä ei ole oikein koodattu niiden tulon validointirutiinia, niin tämä "-1" tai ".000001" -arvo voi mahdollisesti päätyä kaavaan, jota käytetään kohteen kustannusten laskemiseen (eli Price x Quantity). Tämä voi aiheuttaa odottamattomia tuloksia riippuen siitä, kuinka paljon virhetarkistuksia on meneillään ja kuinka paljon luottamusta kehittäjällä on asiakaspuolelta tulevissa tiedoissa. Jos ostoskori on huonosti koodattu, hakkeri voi päätyä mahdolliseen tahattomaan valtavaan alennusluokkaan, hyvitykseen tuotteesta, jota he eivät edes ostaneet, tallentaa luottoa tai jotka tietävät mitä muuta.
Verkkosovelluksen väärinkäytön mahdollisuudet käyttämällä Tamper-tietoja ovat rajattomat. Jos olisin ohjelmistokehittäjä, tietäen, että siellä on työkaluja, kuten Tamper Data, siellä pysyisi yöllä.
Rampa-puolella Tamper Data on erinomainen työkalu turvallisuustietoisille sovelluskehittäjille, jotta he voivat nähdä, miten heidän sovelluksensa vastaavat asiakkaan puolella tapahtuvaa tietojen manipulointiin kohdistuvia hyökkäyksiä.
Kehittäjät luo usein käytä tapauksia keskittyen siihen, miten käyttäjä käyttäisi ohjelmistoa tavoitteen saavuttamiseksi. Valitettavasti he usein jättävät huomiotta huono kaveri tekijä. App-kehittäjien on pantava huono kaveri hatut ja luoda väärinkäytöksiä tapauksissa huomioon hakkereita käyttäen työkaluja, kuten Tamper Data.
Tamper Data -tuotteen on oltava osa turvallisuustestien arseenia, jotta voidaan varmistaa, että asiakaspuolen syöttö tarkistetaan ja tarkistetaan, ennen kuin se voi vaikuttaa tapahtumiin ja palvelinpuolen prosesseihin. Jos kehittäjät eivät osallistu aktiivisesti työkalujen käyttämiseen, kuten Tamper Data, miten heidän sovelluksensa reagoi hyökkäykseen, niin he eivät tiedä, mitä odottaa ja saattavat päätyä maksamaan laskua 60 tuuman plasmatelevision televisiosta, jonka hakkeri vain osti 99 senttiä käyttämällä viallisia ostoskoria.
Lisätietoja Tamper Data Add-on for Firefoxista on osoitteessa Tamper Data Firefox Add-on Page.