Web ûntwikkelders ûntwikkelje faak leauwe dat de measte brûkers de regels folgje en in applikaasje brûke as it bedoeld is te brûken, mar hoe oer hoe't de brûker (of in hacker ) de regels biedt? Hokker as in brûker de fantastyske webkeppeling skipt en begjint om de kodzels hinne te bringen sûnder de beheiningen dy't troch de browser opjûn binne?
Wat oer Firefox?
Firefox is de browser fan keuze foar de measte hackers fanwege it plug-in freundlike ûntwerp. Ien fan 'e populêrere hacker-ark foar Firefox is in tafoeging nammentlik Tamper Data. Tamper Data is gjin super komplike tool, it is allinich in proxy dy't him ynterstelt tusken de brûker en de webside of webapplikaasje dy't sy bliuwe.
Tamper Data liedt in hack om de gerdyn werom te skodearjen om te sjen en te bringen mei alle HTTP "magie" dy't efter de skermen plakfine. Alle GET's en POSTs kinne meiwurke wurde sûnder de beheinings opjûn troch de brûkersynterface te sjen yn 'e browser.
Wat is it sa?
Wêrom dogge hackers as Tamper Data safolle en wêrom soene web-ûntwikkelders soarchje? De wichtichste reden is dat it in persoan makket om te meitsjen mei de gegevens dy't efterlitten wurde tusken de client en de tsjinner (dêrmei de namme Tamper Data). As Tamper Data begjint en in web app of webside yn Firefox is ynsteld, sil Tamper Data alle fjilden sjen litte dy't brûkersynfier of manipulaasje tastean. In hacker kin dan in fjild feroarje nei in "alternatyf wearde" en stjoert de gegevens nei de server om te sjen hoe't it reageert.
Wêrom dit miskien wêze kin foar in applikaasje
Meitsje in hacker in besykje op in online winkelsintrum en in item taheaket oan har virtuele winkelwet. De ûntwikkelders fan 'e webaplan dy't de winkelkarre boud hawwe hawwe de winkel kodearre om in wearde fan' e brûker as Quantity = "1" akseptearje te akseptearjen en it brûkersynterstelsel te beheinen ta in drop-down-bakje mei fêste seleksjes foar de kwantiteit.
In hacker kin probearje om Tamper Data te brûken om de beheiningen fan it dellade-opslach te beheinen, wêrby't allinich brûkers selektearje kinne fan in set fan wearden lykas "1,2,3,4, en 5. brûkme fan Tamper Data, de haker besykje in oare wearde te sizzen "sizze" -1 of miskien ".000001".
As de ûntwikkelders net goed ynsteld hat, binne dizze "-1" of ".000001" wearde eventueel ynsteld troch te passen nei de formule dy't brûkt wurdt om de kosten fan it item te berekkenjen (bygelyks Prix x-tal). Dit kin wat inkele ûnferwachte resultaten feroarsaakje, hinget ôf fan hoefolle flaterkontrôle giet en hoefolle fertrouwen de ûntwikkeler hat yn de gegevens fan 'e kliïnder side. As de winkel kocht is kodearre, dan kin de hacker einliks in mooglike untindere grutte koarting krije, in fergoeding op in produkt dat se sels net keapje, in winkelkredyt, of wa wit wat oars.
De mooglikheden fan misbrûk fan in webapplikaasje dy't Tamper Data brûke, binne ûnfolslein. As ik in softwareûntwikkeler wie, wist gewoan dat der ark binne lykas Tamper Data dêr soe ik nei nacht ophâlde.
Op de flip-side is Tamper Data in poerble tool foar feiligensbewuste applikaasje-ûntwikkelders om te gebrûk te meitsjen sadat se sjen kinne hoe't har applikaasjes reagearje op client-side-data-manipulaasje-oanfallen.
Untwikkelders meitsje faak brûke Cases om te rjochtsjen op hoe't in brûker de software brûke soe om in doel te realisearjen. Spitigernôch fiele se faak de minne faktor. App-ûntwikkelders moatte har badkeatsjes opsette en Misuse Cases oanmeitsje om hackers te helpen mei help fan tools lykas Tamper Data.
Tamper Data moatte diel fan har befeiligingsprotest arsenal wêze om te soargjen dat de client-side-ynfier validearre en ferifiearre is foardat it tagong fan transaksjes en server-side-prosessen mooglik is. As ûntwikkelders gjin aktive rol brûke yn 'e gebrûk fan tools as Tamper Data om te sjen hoe't har applikaasjes reagearje op oanfal, dan sille se net witte wat der te ferwachtsjen en kin it ein meitsje fan de rekken foar 60-inch plasma tv dat de hacker krekt is kocht foar 99 sintels mei har defekt shopping cart.
Foar mear ynformaasje oer it Tamper Data Add-on foar Firefox kinne jo de tafoeging fan 'e Tamper Data-Firefox besykje.