L- iżviluppaturi ta 'l- applikazzjonijiet tal-Web ta' sikwit jafdaw li l-biċċa l-kbira ta 'l-utenti ser isegwu r-regoli u jużaw applikazzjoni peress li hija maħsuba biex tintuża, imma kif dwar meta l-utent (jew hacker ) jegħleb ir-regoli? X'jiġri jekk utent skips l-interface tal-web fancy u jibda messing madwar taħt il-kappa mingħajr il-limitazzjonijiet imposti mill-browser?
Xi Dwar Firefox?
Firefox huwa l-browser ta 'l-għażla għall-biċċa l-kbira tal-hackers minħabba d-disinn ta' plug-in faċli. Waħda mill-għodod hacker aktar popolari għal Firefox hija add-on imsejħa Tamper Data. Tamper Data mhijiex għodda kumplikata super, huwa sempliċement prokura li tiddaħħal fih innifsu bejn l-utent u l-websajt jew l-applikazzjoni tal-web li qed tfittex.
Tamper Data jippermetti lill-hacker biex titqaxxar il-purtiera biex tarah u tingheleb ma 'l-HTTP "magic" li qed issehh wara xeni. Dawk kollha GETs u POSTs jistgħu jiġu mmanipulati mingħajr il-limitazzjonijiet imposti mill-user interface li tidher fil-browser.
X'inhuma To Like?
Allura għaliex jagħmlu hackers bħal Tamper Data tant u għaliex għandhom l-iżviluppaturi ta 'l-applikazzjoni tal-web jieħdu ħsiebha? Ir-raġuni ewlenija hija li din tippermetti lil persuna tbiddel id-data mibgħuta 'l quddiem u lura bejn il-klijent u s-server (għalhekk l-isem Tamper Data). Meta t-Tbagħbis tad-Dejta jkun beda u l-applikazzjoni tal-web jew il-websajt tiġi mnedija fi Firefox, Tamper Data se turi l-oqsma kollha li jippermettu d-dħul jew il-manipulazzjoni tal-utent. Hacker jista 'mbagħad ibiddel qasam għal "valur alternattiv" u jibgħat id-dejta lis-server biex jara kif jirreaġixxi.
Għaliex Dan Jista 'jkun Perikoluż għal Applikazzjoni
Jgħidu li hacker qed iżur is-sit tax-xiri onlajn u jżid oġġett mal-karrettun tax-xiri virtwali tagħhom. L-iżviluppatur ta 'l-applikazzjoni tal-web li bena l-karrettun tax-xiri jista' jkun ikkodifika l-karrettun biex jaċċetta valur mill-utent bħal Kwantità = "1" u rrestrinġa l-element ta 'l-interface ta' l-utent għal kaxxa drop-down li fiha selezzjonijiet predeterminati għall-kwantità.
Hacker jista 'jipprova juża Tamper Data biex jevita r-restrizzjonijiet tal-kaxxa drop-down li tippermetti biss lill-utenti li jagħżlu minn sett ta' valuri bħal "1,2,3,4, u 5. Bl-użu ta 'Tamper Data, il-hacker jista' ipprova jidħol valur differenti ta '"-1" jew forsi ".000001".
Jekk l-iżviluppatur ma kkodifikax kif suppost ir-rutina tal-validazzjoni tal-input, allura dan il-valur "-1" jew ".000001" jista 'eventwalment jispiċċa jiġi mgħoddi mill-formula użata biex tikkalkula l-ispiża tal-oġġett (jiġifieri Prezz x Kwantità). Dan jista 'jikkawża xi riżultati mhux mistennija jiddependi mill-ammont ta' verifika ta 'l-iżbalji li għaddej u kemm ta' min jafdah l-iżviluppatur fid-data li ġejja min-naħa tal-klijent. Jekk il-shopping cart ma tantx ikun kodifikat, allura l-hacker jista 'jispiċċa jkollna skont imprevist kbir mhux mixtieq, rifużjoni fuq prodott li lanqas biss jixtru, kreditu maħżen, jew li jaf x'iktar.
Il-possibbiltajiet ta 'użu ħażin ta' applikazzjoni tal-web bl-użu ta 'Tamper Data huma bla tmiem. Jekk kont żviluppatur ta 'softwer, biss taf li hemm għodod bħal Tbagħbis tad-Dejta hemmhekk iżommu lili bil-lejl.
Fuq in-naħa ta 'wara, Tamper Data hija għodda eċċellenti għall-iżviluppaturi ta' l-applikazzjoni konxji għas-sigurtà sabiex ikunu jistgħu jaraw kif l-applikazzjonijiet tagħhom jirrispondu għal attakki ta 'manipulazzjoni tad-data min-naħa tal-klijent.
L-iżviluppaturi spiss joħolqu Każijiet ta 'Użu biex jiffukaw fuq kif l-utent juża s-softwer biex iwettaq l-għan. Sfortunatament, ħafna drabi jinjoraw il-fattur Guy ħżiena. L-iżviluppaturi ta 'l-applikazzjonijiet jeħtieġ li jpoġġu l-kpiepel ħżiena tagħhom u joħolqu Każijiet ta' Użu ħażin biex jagħtu kont ta 'hackers li jużaw għodda bħal Tamper Data.
Id-Dejta tat-Tbagħbis għandha tkun parti mill-armament tal-ittestjar tas-sigurtà biex tgħin tiżgura li l-input tal-klijent jiġi validat u vverifikat qabel ma jitħalla jaffettwa t-tranżazzjonijiet u l-proċessi sekondarji. Jekk l-iżviluppaturi ma jieħdux rwol attiv fl-użu ta 'għodda bħal Tamper Data biex tara kif l-applikazzjonijiet tagħhom jirrispondu għal attakk, allura dawn ma jkunux jafu x'għandhom jistennew u jistgħu jispiċċaw iħallsu l-kont għal 60-il pulzier tat-TV fil-plażma li l-hacker biss xtraw għal 99 ċenteżmu bl-użu tal-karrettun tax-xiri difettuż tagħhom.
Għal aktar informazzjoni dwar Tamper Data Add for Firefox, żur it-Tamper Data Firefox Add-on Page.