Web proqram inkişaf etdiriciləri tez-tez istifadəçilərin çoxu qaydalara əməl etmələrinə və tətbiq olunduğu kimi istifadə edəcəyinə etibar edirlər, lakin istifadəçi (ya da hacker ) qaydaları əymək zaman necədir? Bir istifadəçi, xülya web interfeysini atarsa və brauzerin tətbiq etdiyi məhdudiyyətlər olmadan başlıq altında ətrafında danışmağa başlayarsa?
Firefox haqqında nədir?
Firefox, plug-in dostu dizaynı sayəsində ən hackerlar üçün seçim brauzeridir. Firefox üçün daha populyar hacker vasitələrindən biri Tamper Data adlı add-ondur. Tamper Data super mürəkkəb bir vasitə deyildir, yalnız istifadəçi və veb səhifəsinə və ya veb səhifəsinə baxdıqda özünü birləşdirən bir proxydir .
Tamper Data bir hacker səhnə arxasında baş verən HTTP "sehrli" bütün keçirmək və mess üçün pərdə geri soymaq üçün imkan verir. Bütün bu GET'lər və POST'lar brauzerdə göründüyü istifadəçi interfeysi tərəfindən qoyulan məhdudiyyətlər olmadan manipulyasiya edilə bilər.
Nə istəyirsiniz?
Beləliklə, niyə Tamper Data kimi hackerlar bunu edə bilərlər və niyə web proqram inkişaf etdirmələri bu mövzuda qayğı göstərməlidir? Bunun əsas səbəbi, bir şəxsin müştəri ilə server arasında (yəni Tamper Data adı) geri və irəli ötürülən məlumatların saxtalaşdırılmasına imkan verməsidir. Tamper Data başlatıldığında və Firefox'ta bir web app və ya veb sayt açıldığında, Tamper Data istifadəçi girişinə və ya manipulyasiya etməyə imkan verən bütün sahələri göstərəcək. Bir hacker daha sonra bir sahəni "alternativ dəyər" ə dəyişə və məlumatları serverə necə göndərə bilməsi üçün göndərə bilər.
Nə üçün bu tətbiq üçün təhlükəli ola bilər?
Bir hacker bir onlayn alış-veriş saytını ziyarət edir və virtual alışveriş sepetine bir maddə əlavə edir. Alış-veriş sepetini inşa edən web proqram inkişafçısı, istifadəçi tərəfindən Quantity = "1" kimi bir dəyər qəbul etmək üçün səbəti kodlaşdırmış və istifadəçi interfeysi elementini miqdar üçün müəyyən edilmiş seçimləri olan bir açılan qutuya məhdudlaşdırmışdır.
Bir haker, Tamper Data istifadə etmək üçün istifadə edə bilər, yalnız istifadəçilərə "1,2,3,4 və 5 kimi dəyərlərdən birini seçməyə imkan verən açılan qutunun məhdudiyyətlərini atlayıb. Tamper Data istifadə edərək, hacker "-1" və ya bəlkə ".000001" demək üçün fərqli bir dəyərə daxil etməyə çalışın.
Geliştirici, giriş doğrulama rutinini düzgün biçimde kodlamamışsa, bu "-1" və ya ".000001" değeri, öğenin maliyetini (yani Fiyat x Miktarı) hesaplamak üçün kullanılan formüle geçirilmeye başlaya bilər. Bu, nə qədər səhv yoxlanılacağına və müştərilər tərəfindən gələn məlumatlarda sahibkara nə dərəcədə etibar etdiyinə bağlı olaraq bəzi gözlənilməz nəticələrə səbəb ola bilər. Alış-veriş sepeti zəif kodlaşdırılıbsa, hacker mümkün olmayan istənilən böyük bir endirim əldə edə bilər, hətta ala bilmədikləri bir məhsula, bir mağaza kreditinə və ya başqa nə bilir.
Tamper Data istifadə edərək bir web tətbiqi sui-istifadə etmək sonsuzdur. Bir proqram geliştiriciyiydim, yalnız Tamper Data kimi alətlər var olduğunu bilirsinizsə gecə məni saxlayırdı.
Flip-Side'də, Tamper Data, tətbiqlərin tətbiqlərin müştərilər tərəfindən verilən məlumat manipulyasiya hücumlarına necə cavab verdiyini görə bilmək üçün təhlükəsiz şüurlu tətbiq inkişaf etdiriciləri üçün əla vasitədir.
Yaradıcılar tez-tez bir istifadəçi bir məqsədi yerinə yetirmək üçün proqramdan necə istifadə edəcəyinə diqqət yetirmək üçün Cases istifadə edin. Təəssüf ki, onlar tez-tez pis adam faktoru görmürlər. App inkişaf etdiriciləri, pis oğlan şapkalarına qoymalı və Tamper Data kimi alətlərdən istifadə edərək, hakerlər üçün hesablaşmalardan istifadə etməlidirlər.
Tamper Data, əməliyyatların və server proseslərinə təsir göstərməmişdən əvvəl, müştəri girişinin etibarlı və təsdiqlənməsini təmin etmək üçün təhlükəsizlik test arsenalının bir hissəsi olmalıdır. Tərtibatçılar hücumlara necə cavab verdiyini görmək üçün Tamper Data kimi vasitələrdən istifadə etmədikdə, inkişaf edənlər 60 düymlük plazma TV üçün nəzərdə tutulan hesabı ödəmək üçün nə gözlədiyini və nə başa düşəcəyini bilməyəcəklər. Onların qüsurlu alışveriş sepetini istifadə edərək 99 sent üçün satın aldılar.
Firefox üçün Tamper Data Eklentisi haqqında daha ətraflı məlumat üçün Tamper Data Firefox Əlavə səhifəsini ziyarət edin.