Web-sovellusten kehittäjät luottavat usein siihen, että useimmat käyttäjät noudattavat sääntöjä ja käyttävät sovellusta sellaisena kuin niitä on tarkoitus käyttää, mutta miten käyttäjä (tai hakkeri) taipuu sääntöjä? Entä jos käyttäjä ohittaa fancy-web-käyttöliittymän ja alkaa ryöstää hupparin alla ilman selaimen asettamia rajoituksia?
Entä Firefox?
Firefox on selaimen valinta useimmille hakkereille, koska se on plug-in-ystävällinen muotoilu. Yksi suosituimmista hakkerointityökaluista Firefoxille on add-on nimeltä Tamper Data. Tamper Data ei ole erittäin monimutkainen työkalu, vaan se on vain välityspalvelin, joka lisätään käyttäjän ja verkkosivuston tai verkkosovelluksen välillä, jota he selailevat.
Tamper Data -palvelun avulla hakkeri voi kuorata verhon katsella ja häiritä kaikkia HTTP: n "taikaa", joka tapahtuu kulissien takana. Kaikki nämä GETit ja POSTit voidaan manipuloida ilman selaimen käyttöliittymän asettamia rajoituksia.
Mitä haluat?
Joten miksi hakkereita kuten Tamper Data niin paljon ja miksi web-sovellusten kehittäjät huolta siitä? Tärkein syy on se, että henkilö voi muuttaa palvelimen ja palvelimen välillä lähetettäviä tietoja (tästä syystä nimi Tamper Data). Kun Tamper Data käynnistetään ja Firefoxissa käynnistetään verkkosovellus tai verkkosivusto, Tamper Data näyttää kaikki kentät, jotka mahdollistavat käyttäjien syöttämisen tai manipuloinnin. Hakkeri voi sitten muuttaa kentän "vaihtoehtoiseksi arvoksi" ja lähettää tiedot palvelimelle nähdäkseen, miten se reagoi.
Miksi tämä voi olla vaarallinen sovellukselle
Sano, että hakkeri käy verkkokauppasivustolla ja lisää kohteen virtuaaliseen ostoskoriin. Ostoskorin rakentanut verkkosovelluskehittäjä voi olla koodattu ostoskoriin, jotta käyttäjä voi hyväksyä arvon kuten esimerkiksi Määrä = "1" ja rajoitti käyttöliittymäelementin pudotusvalikkoon, joka sisältää ennalta määrätyt valinnat määrälle.
Hakkeri voi yrittää käyttää Tamper Data -ohjelmaa ohittamaan avattavan laatikon rajoitukset, joiden avulla käyttäjät voivat valita vain joukon arvoja, kuten 1, 2, 3, 4 ja 5. Tamper-tietojen käyttäminen hakkeri voi yrittää syöttää eri arvo "-1" tai ehkä ".000001".
Jos kehittäjä ei ole koodauttanut oikein tulon validointirutiiniasi, niin tämä "-1" tai ".000001" -arvo saattaa mahdollisesti päätyä kaavaan, jota käytetään laskettaessa kohteen kustannuksia (esim. Hinta x Määrä). Tämä voi aiheuttaa odottamattomia tuloksia riippuen siitä, kuinka paljon virhetarkistuksia on meneillään ja kuinka paljon luottamusta kehittäjällä on asiakaspuolelta tulevissa tiedoissa. Jos ostoskori on huonosti koodattu, hakkeri voi päätyä mahdolliseen tahattomaan valtavaan alennusluokkaan, hyvitykseen tuotteesta, jota he eivät edes ostaneet, tallentaa luottoa tai jotka tietävät mitä muuta.
Verkkosovelluksen väärinkäytön mahdollisuudet käyttämällä Tamper-tietoja ovat rajattomat. Jos olisin ohjelmistokehittäjä, tietäen, että siellä on työkaluja, kuten Tamper Data, siellä pysyisi yöllä.
Rampa-puolella Tamper Data on erinomainen työkalu turvallisuustietoisille sovelluskehittäjille, jotta he voivat nähdä, miten heidän sovelluksensa vastaavat asiakkaan puolella tapahtuvaa tietojen manipulointiin kohdistuvia hyökkäyksiä.
Kehittäjät luo usein "Käytä tapauksia" keskittymään siihen, miten käyttäjä käyttäisi ohjelmistoa tavoitteen saavuttamiseksi. Valitettavasti he usein jättävät huomiotta huono kaveri tekijä. App-kehittäjien on pantava huonoja kavereitaan ja luotava väärinkäytökset, jotta he hakevat hakkereita käyttäen työkaluja, kuten Tamper Data.
Tamper Data -tuotteen on oltava osa turvallisuustestien arseenia, jotta voidaan varmistaa, että asiakaspuolen syöttö tarkistetaan ja tarkistetaan, ennen kuin se voi vaikuttaa tapahtumiin ja palvelinpuolen prosesseihin. Jos kehittäjät eivät osallistu aktiivisesti työkalujen käyttämiseen, kuten Tamper Data -toimintoihin, miten heidän sovelluksensa reagoivat hyökkäykseen, niin he eivät tiedä, mitä odottaa ja saattavat joutua maksamaan laskua 60: n plasmatelevision käyttäjälle, jota juuri hakkeri osti 99 senttiä käyttämällä viallisia ostoskoria.
