Вэб - прыкладання распрацоўнікі часта ўпэўненыя , што большасць карыстальнікаў будуць прытрымлівацца правілах і выкарыстоўваць прыкладанне , так як ён прызначаны для выкарыстання, але як аб тым, калі карыстальнік (або узломшчык ) згінае правілы? Што рабіць, калі карыстальнік прапускае фантазію вэб-інтэрфейс і пачынае важдацца пад капотам без абмежаванняў, якія накладаюцца браўзэр?
Як наконт Firefox?
Firefox з'яўляецца браўзэрам выбару для большасці хакераў з-за яго убудова дружалюбнага дызайну. Адным з найбольш папулярных інструментаў хакера для Firefox з'яўляецца дадаткам называецца Tamper Data. Tamper Data ня супер складаны інструмент, гэта проста проксі , які ўстаўляе сябе ў-паміж карыстальнікам і вэб - сайта або вэб - прыкладання , якія яны праглядаюць.
Tamper Data дазваляе хакеру адхіліце фіранку, каб паглядзець і беспарадак з усімі HTTP «магія» адбываецца за кулісамі. Усе тыя GETs і пастам можна маніпуляваць без абмежаванняў, што накладаюцца карыстацкага інтэрфейсу бачылі ў браўзэры.
Што і # 39; s падабаецца?
Дык чаму ж хакеры, як Тампэрэ дадзеныя так шмат і чаму распрацоўшчыкі вэб-прыкладанні павінны клапаціцца пра яго? Асноўная прычына заключаецца ў тым, што яна дазваляе чалавеку падрабіць дадзеныя адпраўляюцца туды і назад паміж кліентам і серверам (адсюль і назва Тампэрэ Data). Калі Тампэрэ дадзеныя запушчаныя і вэб-дадатак або вэб-сайт запушчаны ў Firefox, Тампэрэ дадзеныя пакажуць усе палі, якія дазваляюць ўвод дадзеных карыстальніка ці маніпуляцыю. Хакер можа затым змяніць поле да «альтэрнатыўнай кошту» і адправіць дадзеныя на сервер, каб убачыць, як ён рэагуе.
Чаму гэта можа быць небяспечным у дадатак
Скажам , хакер наведваючы інтэрнэт - крамы сайт і дадае элемент у сваю віртуальную кошык. Распрацоўшчык вэб-прыкладанні, які пабудаваў кошык можа быць закадавана каляскай, каб прыняць значэнне ад карыстальніка, такіх як колькасць = "1" і абмежаваў элемент карыстацкага інтэрфейсу ў расчыняецца спіс, які змяшчае наканаваны выбар для колькасці.
Хакер можа паспрабаваць выкарыстаць Трамбовщик дадзеныя, каб абыйсці абмежаванні на расчыняецца спісе, які толькі дазваляе карыстальнікам выбіраць з мноства значэнняў, такія як «1,2,3,4 і 5. Выкарыстання Трамбовщика дадзеных, хакер можа паспрабуйце ўвесці іншае значэнне, скажам, «-1» або, магчыма, »0,000001".
Калі распрацоўнік не правільна закадаваныя сваю праграму праверкі ўводу, то гэта «-1» або »0,000001" значэнне, магчыма, у канчатковым выніку будзе прыняты ў формуле, якая выкарыстоўваецца для разліку кошту тавару (г.зн. цана х колькасць). Гэта можа прывесці да нечаканых вынікаў у залежнасці ад таго, колькі праверкі памылак адбываюцца і колькі даверу распрацоўніка мае ў дадзеных, якія паступаюць ад кліенцкай боку. Калі кошык дрэнна закадавана, то хакер можа ў канчатковым выніку атрымаць магчымыя ненаўмысных велізарныя зніжкі, зварот на прадукт, які яны нават не купіць, крэдыт крамы, або хто ведае што яшчэ.
Магчымасці злоўжывання вэб-прыкладанні з дапамогай Тампэрэ дадзеных бясконцыя. Калі б я быў распрацоўшчыкам праграмнага забеспячэння, проста ведаючы, што ёсць такія інструменты, як Тампэрэ дадзеныя там будзе трымаць мяне ў начны час.
З іншага боку, Tamper Data з'яўляецца выдатным інструментам для распрацоўшчыкаў дадаткаў клапоціцца пра бяспеку, каб выкарыстаць, каб яны маглі бачыць, як іх дадатак рэагаваць на бок кліента атакі маніпулявання дадзеных.
Распрацоўшчыкі часта ствараюць прэцэдэнты, каб засяродзіцца на тым, як карыстальнік будзе выкарыстоўваць праграмнае забеспячэнне для дасягнення мэты. На жаль, яны часта ігнаруюць дрэнны фактар хлопца. Распрацоўшчыкі прыкладанняў павінны паставіць на іх дрэнным хлопцу капялюш і стварыць няправільнае выкарыстанне футляры для ўліку хакераў з дапамогай такіх інструментаў, як Тампэрэ дадзеныя.
Тампэрэ дадзеныя павінны быць часткай іх тэставанне бяспекі арсенала, каб дапамагчы гарантаваць, што на бок кліента ўваход правяраюцца і правяраецца, перш чым гэта дазволена ўплываць на аперацыю і серверныя працэсы. Калі распрацоўшчыкі не прымаюць актыўны ўдзел у выкарыстанні такіх інструментаў, як Тампэрэ дадзеных, каб убачыць, як іх прыкладання рэагаваць на атакі, то яны не будуць ведаць, што чакаць і можа ў канчатковым выніку плаціць рахункі за 60-цалевы плазменны тэлевізар, што хакер проста купіў за 99 цэнтаў, выкарыстоўваючы іх дэфектнай кошык.
Для атрымання больш падрабязнай інфармацыі аб Тампэрэ дадзеных надбудовы для Firefox наведаць Трамбовщик Data Firefox Add-на стар.