Ang mga developer ng web application ay kadalasang pinagkakatiwalaan na ang karamihan sa mga gumagamit ay sasailalim sa mga tuntunin at gumamit ng isang application na ito ay nilayon upang magamit, ngunit kung paano ang tungkol sa kung kailan ang user (o isang hacker ) ay lumiliko sa mga panuntunan? Paano kung ang isang gumagamit ay laktawan ang magarbong web interface at nagsisimula sa pag-messing sa ilalim ng hood na walang mga limitasyon na ipinataw ng browser?
Ano ang Tungkol sa Firefox?
Ang Firefox ay ang browser ng pagpili para sa karamihan ng mga hacker dahil sa kanyang plug-in friendly na disenyo. Ang isa sa mga mas popular na tool ng hacker para sa Firefox ay isang add-on na tinatawag na Tamper Data. Ang Tamper Data ay hindi isang sobrang komplikadong tool, ito ay isang proxy lamang na nagpapasok sa kanyang sarili sa pagitan ng gumagamit at ng website o web application na sila ay nagba-browse.
Pinapayagan ka ng Data ng Tamper ng isang Hacker na mag-alis pabalik sa kurtina upang tingnan at gulo sa lahat ng "magic" ng HTTP na nagaganap sa likod ng mga eksena. Maaaring manipulahin ang lahat ng mga GET at POST na wala ang mga limitasyon na ipinataw ng interface ng gumagamit na nakikita sa browser.
Ano ang Gusto?
Kaya bakit kaya ang mga hacker tulad ng Tamper Data kaya magkano at bakit dapat pag-aalaga ng mga developer ng web application ang tungkol dito? Ang pangunahing dahilan ay na pinapayagan nito ang isang tao na pakialaman ang data na ipinadala pabalik-balik sa pagitan ng kliyente at ng server (samakatuwid ay ang pangalan ng Tamper Data). Kapag nagsimula ang Tamper Data at isang web app o website ay inilunsad sa Firefox, ang Tamper Data ay magpapakita ng lahat ng mga patlang na nagpapahintulot sa pag-input ng gumagamit o pagmamanipula. Pagkatapos ng isang hacker ay maaaring baguhin ang isang patlang sa isang "alternatibong halaga" at ipadala ang data sa server upang makita kung paano ito reacts.
Bakit Ito Maaaring Mapanganib sa isang Application
Sabihing isang hacker ang bumibisita sa isang online shopping site at nagdadagdag ng isang item sa kanilang virtual shopping cart. Ang developer ng web application na nagtayo ng shopping cart ay maaaring naka-code sa cart upang tanggapin ang isang halaga mula sa gumagamit tulad ng Dami = "1" at pinaghihigpitan ang elemento ng user interface sa isang drop-down na kahon na naglalaman ng mga paunang natukoy na mga seleksyon para sa dami.
Ang isang hacker ay maaaring magtangkang gamitin ang Tamper Data upang lampasan ang mga paghihigpit ng drop-down na kahon na pinapayagan lamang ang mga gumagamit na pumili mula sa isang hanay ng mga halaga tulad ng "1,2,3,4, at 5. Paggamit ng Tamper Data, ang hacker ay maaaring subukan na magpasok ng ibang halaga ng sinasabi "-1" o marahil ".000001".
Kung hindi maayos na ma-code ng nag-develop ang kanilang routine validation ng input, maaari itong maipasa sa halagang "-1" o ".000001" sa formula na ginamit upang makalkula ang halaga ng item (ie Presyo x Quantity). Ito ay maaaring maging sanhi ng ilang hindi inaasahang mga resulta depende sa kung magkano ang pag-check ng error ay nangyayari at kung magkano ang tiwala ng developer sa data na nagmumula sa client-side. Kung ang shopping cart ay hindi maayos na naka-code, ang hacker ay maaaring magtapos ng pagkuha ng isang posibleng hindi sapat na diskwento, isang refund sa isang produkto na hindi nila binili, isang credit store, o kung sino ang nakakaalam kung ano pa.
Ang mga posibilidad ng maling paggamit ng isang web application gamit ang Tamper Data ay walang katapusang. Kung ako ay isang software developer, alam lang na may mga tool tulad ng Tamper Data out doon ay panatilihin sa akin sa gabi.
Sa flip-side, ang Tamper Data ay isang mahusay na tool para sa mga developer ng nakakamalay na seguridad na gagamitin upang makita nila kung paano tumugon ang kanilang mga application sa pag-atake ng pagmamanipula ng data ng client-side.
Ang mga nag-develop ay madalas na lumikha ng Mga Kasangkapan sa Paggamit upang tumuon kung paano gagamit ng isang user ang software upang magawa ang isang layunin. Sa kasamaang palad, sila ay madalas na huwag pansinin ang masamang tao kadahilanan. Kinakailangan ng mga developer ng app na ilagay ang kanilang masamang mga sumbrero ng lalaki at lumikha ng mga Maling Paggamit upang i-account para sa mga hacker gamit ang mga tool tulad ng Tamper Data.
Ang Tamper Data ay dapat na bahagi ng kanilang arsenal sa pagsubok ng seguridad upang makatulong na matiyak na ang input ng client-side ay napatunayan at napatunayan bago ito pinahihintulutan na makaapekto sa mga transaksyon at mga proseso sa server. Kung ang mga developer ay hindi nagsasagawa ng isang aktibong papel sa paggamit ng mga tool tulad ng Tamper Data upang makita kung paano tumugon ang kanilang mga application sa pag-atake, pagkatapos ay hindi nila alam kung ano ang aasahan at maaaring magbayad ng bayarin para sa 60-inch plasma TV na ang hacker lang binili para sa 99 cents gamit ang kanilang may sira na shopping cart.
Para sa karagdagang impormasyon sa Tamper Data Add-on para sa Firefox bisitahin ang Tamper Data Firefox Add-on Page.