Web-Applikatioun Entwéckler oft vertrauen datt déi meescht Benotzer d'Regele maachen an eng Applikatioun benotzen, wéi et soll benotzt ginn, awer wéi iwwer de Benotzer (oder en Hacker ) d'Regelen biegt? Wat ass wann e Benotzer de Phantasmus Webinterface aussprécht a fänkt un der Kappe laanscht d'Kapitelen ze bréngen ouni d'Ofhängegkeet vum Browser opzefëllen?
Wat sinn iwwer Firefox?
Firefox ass de Browser vu Choix fir déi meescht Hacker wéinst sengem plug-in friendly design. Een vun de méi populärem Hacker-Tools fir Firefox ass eng Add-on mam Numm Tamper Data. Tamper Data ass net eng super komplizéiert Tool, et ass e just Proxy, deen sech an den User an d'Websäit oder Webapplikatioun setzt, déi se verstoppt sinn.
Tamper Data erlaabt en Hacker fir de Rido zeréckzeschloen fir mat all der HTTP "Magie" ze kucken a sech hannert der Szenen ze maachen. All dës GETs an POSTs ka manipuléiert ginn ouni d'Ofhängegkeet vun der Benotzerinterface déi am Browser gesicht.
Wat fir Iech?
Also, firwat hu Hacker wéi Tamper Data esou vill an firwat sollten Web-Applikatioun Entwéckler sin? Den Haaptgrond ass datt et eng Persoun ka manipuléiere mat den Daten déi tëscht dem Client an dem Server zeréckgeruff ginn (also den Numm Tamper Data). Wann Tamper Data beginnt an eng Websäit oder Websäit gëtt am Firefox gestoppt, gëtt Tamper Data all d'Felder ugewisen, déi Benotzer-Input oder Manipulatioun hunn. Een Hacker kann dann e Feld op en "alternate Wäert" änneren an d'Daten op de Server schécken fir ze kucken, wéi et reagéiert.
Firwat dat kéint Risiko bei enger Applikatioun sinn
Sot een Hacker en Online Shopping kaafen an e klengt Element op säi virtuelle Akafskuerf. De Web-Applikateur deen den Akafsprogramm erstallt huet kann de Wuerc kodéiert hunn den Wäert vun engem Benotzer wéi Quantity = "1" ze akzeptéieren an de Benotzer-Interface Element op eng Dropdown-Box ze beschränken déi e festgeluegte Selektiouns fir d'Quantitéit enthalen.
En Hacker konnt versichen Tamper Data ze benotzen fir d'Restriktiounen vun der Dropdown-Box ze bidden, déi nëmme Benotzer erlaabt aus engem Set vu Wäerter wéi "1,2,3,4 a 5 ze benotzen. 5. Verwenden vun Tamper Data, den Hacker probéiert e puer Wäerter ze soen "-1" oder vläicht ".000001".
Wann de Entwéckler net korrekt seng Validatiounsroutine routinéiert codéiert, kann dësen "-1" oder ".000001" Wäert am Moment op d'Formel iwwerginn, déi benotzt gëtt fir d'Käschten vum Element (dh Präis x Quantitéit) ze berechnen. Dëst kéint e puer onerwaart Resultater bewirken, wat dovun ofgeet, wéi vill Fehlertest ophalen ass a wéi vill Vertrauen den Entwéckler an den Donnéeën aus der Client-Säit. Wann den Akafsarkt schlecht schlecht codéiert ass, da kënnt den Hacker e méiglechst onberechtegten riesegen Rabatt, e Remboursement op e Produit, deen se net och kaaft hunn, e Kreditercredien, oder wien wat et maacht.
D'Méiglechkeeten vun der Misus vun enger Webapplikatioun mam Tamper Data sinn endlos. Wann ech e Software Softwareentwéckler waren, wousst einfach datt et ginn Tools wéi Tamper Data da giff mech ophalen.
Op der flip-Säit, ass Tamper Data eng exzellent Instrument fir d'Sécherheetsbewäertung fir Entwéckler ze benotzen fir se ze gesinn, wéi hir Applikatiounen op Client-side Daten Manipulatioun Attacken reagéieren.
D'Entwéckler oft erstellen Cases fir ze konzentréieren op wéi e Benotzer d'Software benotze kënnt fir e Goal ze maachen. Leider ignoréiere se dat oft de schlechten Typ Faktor. App-Entwéckler mussen op hiren béise Kerbe Hënn opgesprengt a Misuse Cases erstellen fir Hacker ze benotzen mat Tools wéi Tamper Data.
Tamper Data soll Deel vun hirem Sécherheetsprobleemt ass, fir datt d'Cliente-Inputseing validéiert a verifizéiert ass, ier et en Transaktiounen a Server-Prozesser betrëfft. Wann d'Entwéckler eng aktive Rolle bei der Verwäertung vun Tools wéi Tamper Data huelen, fir ze gesinn, wéi hir Applikatiounen op Attacke reagéieren, da wieren si net wat wat erwaart ass a ka mam Schluss den Bill um 60-Zoll Plasma Fernseher bezuelen datt den Hacker just kaaft fir 99 Cent mat sengem defekten Akaf.
Fir méi Informatiounen iwwer d'Tamper Data Add-on fir de Firefox ze besichen, besicht d'Tamper Data Firefox Add-on Page.