טמפר נתונים: תוסף פיירפוקס

מפתחי יישומי אינטרנט סומכים לעתים קרובות כי רוב המשתמשים הולכים לפי הכללים ולהשתמש ביישום כפי שהוא נועד לשמש, אבל מה לגבי כאשר המשתמש (או האקר ) מכופף את הכללים? מה אם משתמש מדלג על ממשק האינטרנט המהודר ומתחיל להתעסק מתחת למכסה המנוע ללא האילוצים שהטיל הדפדפן?

מה פיירפוקס?

פיירפוקס הוא דפדפן הבחירה של רוב האקרים בגלל התוספת שלה עיצוב ידידותי. אחד הכלים הפופולרית יותר עבור פיירפוקס הוא תוסף שנקרא נתונים טמפר. טמפר נתונים אינו כלי מסובך במיוחד, זה רק פרוקסי זה מוסיף את עצמו בין המשתמש לבין אתר האינטרנט או יישום אינטרנט שהם גולשים.

טמפר נתונים מאפשר האקר לקלף בחזרה את המסך כדי להציג בלגן עם כל "HTTP" HTTP המתרחשת מאחורי הקלעים. כל אלה GETs ו POSTs יכול להיות מניפולציה ללא אילוצים שהוטלו על ידי ממשק המשתמש לראות את הדפדפן.

מה לאהוב?

אז למה האקרים כמו טמפר נתונים כל כך הרבה למה מפתחי יישומי אינטרנט אכפת על זה? הסיבה העיקרית היא כי הוא מאפשר לאדם להתעסק עם הנתונים שנשלחו הלוך ושוב בין הלקוח לבין השרת (ומכאן שם Tamper נתונים). כאשר הנתונים Tammer הוא התחיל ואת יישום האינטרנט או האתר הושק ב- Firefox, נתונים Tamper יציג את כל השדות המאפשרים קלט משתמש או מניפולציה. האקר יכול לשנות שדה ל"ערך חלופי "ולשלוח את הנתונים לשרת כדי לראות כיצד הוא מגיב.

למה זה עלול להיות מסוכן ליישום

תגיד האקר הוא מבקר באתר קניות מקוון ומוסיף פריט לעגלת הקניות הווירטואלית שלהם. מפתח יישומי האינטרנט שבנה את עגלת הקניות עשוי לקודד את העגלה כדי לקבל ערך מהמשתמש כגון כמות = "1" והגביל את רכיב ממשק המשתמש לתיבה נפתחת המכילה בחירות קבועות מראש עבור הכמות.

האקר יכול לנסות להשתמש בנתוני טמפר כדי לעקוף את ההגבלות של התיבה הנפתחת אשר רק לאפשר למשתמשים לבחור מתוך קבוצה של ערכים כגון "1,2,3,4, ו 5. באמצעות נתונים Tamper, האקר יכול נסה להזין ערך שונה של "-1" או "אולי".

אם היזם לא קידד כראוי את שגרת האימות שלהם, אז ערך "-1" או ".000001" זה עלול להיות מועבר לנוסחה המשמשת לחישוב עלות הפריט (כלומר, מחיר x כמות). זה יכול לגרום לתוצאות בלתי צפויות תלוי כמה בדיקות שגיאה קורה וכמה אמון המפתח יש בנתונים הקרובים מצד הלקוח. אם עגלת הקניות מקודדת בצורה גרועה, ייתכן שההאקר יגיע בסופו של דבר להנחה ענקית בלתי רצויה, החזר על מוצר שהם אפילו לא רכשו, אשראי בחנות או מי יודע מה עוד.

האפשרויות של שימוש לא נכון של יישום אינטרנט באמצעות נתונים טמפר הם אינסופיים. אם הייתי מפתח תוכנה, רק בידיעה שיש כלים כמו טמפר נתונים בחוץ ישמור אותי בלילה.

בצד ההפוך, נתוני הטמפר הוא כלי מצוין למפתחי יישומים בעלי מודעות אבטחה, כך שיוכלו לראות כיצד היישומים שלהם מגיבים למתקני מניפולציית נתונים מצד הלקוח.

מפתחים לעתים קרובות ליצור מקרים השתמש כדי להתמקד כיצד משתמש ישתמש בתוכנה כדי להשיג מטרה. למרבה הצער, הם לעתים קרובות להתעלם גורם הבחור הרע. מפתחי היישומים צריכים לשים על כובע הבחור הרע שלהם וליצור מקרים שימוש לרעה כדי להסביר האקרים באמצעות כלים כגון נתונים טמפר.

טמפר הנתונים צריכים להיות חלק מארסנל הבדיקות הביטחוני שלהם כדי להבטיח שהספק קלט של צד הלקוח יאומת ויאומת לפני שיהיה מותר להשפיע על עסקאות ותהליכים בצד השרת. אם מפתחים לא לוקחים חלק פעיל בשימוש בכלים כמו טמפר נתונים כדי לראות איך היישומים שלהם מגיבים לתקוף, אז הם לא יודעים למה לצפות ויכול בסופו של דבר לשלם את הצעת החוק עבור טלוויזיה פלזמה 60 אינץ 'כי האקר קנה 99 סנט באמצעות עגלת הקניות הפגומה שלהם.

לקבלת מידע נוסף על התוספת נתונים התוספת עבור פיירפוקס בקר באתר טמפר פיירפוקס Add-on Page.