Dezvoltatorii de aplicatii web cred in mod frecvent ca majoritatea utilizatorilor urmeaza sa respecte regulile si sa foloseasca o aplicatie asa cum este intentionata sa o utilizeze, dar ce se intampla cand utilizatorul (sau un hacker ) incalca regulile? Ce se întâmplă dacă un utilizator renunță la o interfață web fantezistă și începe să se rătăcească sub capotă fără constrângerile impuse de browser?
Ce este despre Firefox?
Firefox este browserul de alegere pentru majoritatea hackerilor, datorită designului său prietenos. Unul dintre cele mai populare instrumente hacker pentru Firefox este un add-on numit Tamper Data. Tamper Data nu este un instrument foarte complicat, este doar un proxy care se inserează între utilizator și site-ul sau aplicația web pe care o navighează.
Datele de tamper permit unui hacker să dezlege perdelele pentru a vedea și mizeria cu toate "magia" HTTP care are loc în spatele scenei. Toate aceste GET-uri și POST-uri pot fi manipulate fără constrângerile impuse de interfața cu utilizatorul văzută în browser.
Ce îți place?
Deci, de ce hackerii ca Tamper Data atât de mult și de ce ar trebui dezvoltatorii de aplicații web să aibă grijă de asta? Motivul principal este că permite unei persoane să manipuleze datele trimise înainte și înapoi între client și server (de aici numele de Tamper Data). Atunci când se pornesc datele de tamper și în Firefox este lansată o aplicație web sau un site Web, datele Tamper vor afișa toate câmpurile care permit intrarea sau manipularea de către utilizator. Un hacker poate schimba apoi un câmp la o "valoare alternativă" și trimite datele către server pentru a vedea cum reacționează.
De ce acest lucru ar putea fi periculos pentru o aplicație
Spune că un hacker vizitează un site de cumpărături online și adaugă un articol în coșul său virtual de cumpărături. Dezvoltatorul de aplicații web care a construit coșul de cumpărături poate fi codat căruciorul pentru a accepta o valoare de la utilizator cum ar fi Cantitatea = "1" și a restricționat elementul interfeței utilizator într-o casetă drop-down care conține selecții predeterminate pentru cantitate.
Un hacker ar putea încerca să utilizeze datele Tamper pentru a ocoli restricțiile din caseta drop-down, care permit numai utilizatorilor să selecteze dintr-un set de valori precum "1,2,3,4 și 5. Folosind datele Tamper, hackerul ar putea încercați să introduceți o valoare diferită de a spune "-1" sau poate ".000001".
Dacă dezvoltatorul nu și-a codificat corespunzător rutina de validare a intrărilor, atunci această valoare "-1" sau ".000001" ar putea fi trecută la formula folosită pentru a calcula costul elementului (adică prețul x cantitate). Acest lucru poate determina rezultate neașteptate, în funcție de frecvența verificării erorilor și de încrederea pe care o are dezvoltatorul în datele provenite de la client. În cazul în care coșul de cumpărături este prost codificat, atunci hackerul poate ajunge la o posibilă reducere imensă neintenționată, o rambursare pentru un produs pe care nu l-au cumpărat, un credit de magazin sau cine știe ce altceva.
Posibilitățile de utilizare incorectă a unei aplicații web care utilizează datele Tamper sunt nesfârșite. Dacă aș fi fost un dezvoltator de software, știind doar că există instrumente cum ar fi Tamper Data, acolo mă vor ține noaptea.
Pe de altă parte, Tamper Data este un instrument excelent pentru dezvoltatorii de aplicații care dau dovadă de securitate, pentru a putea folosi astfel încât să poată vedea cum aplicațiile lor răspund la atacurile de manipulare a datelor de la client.
Dezvoltatorii creează adesea cazuri de utilizare pentru a se concentra asupra modului în care un utilizator ar folosi software-ul pentru a atinge un obiectiv. Din păcate, adesea ignoră factorul de tip rău. Dezvoltatorii de aplicații trebuie să-și pună pălăria rău tip și să creeze cazuri de utilizare greșită pentru a explica hackerii utilizând instrumente cum ar fi datele Tamper.
Datele de Tamper ar trebui să facă parte din arsenalul de testare a securității, pentru a se asigura că intrarea pe partea clientului este validată și verificată înainte de a permite afectarea tranzacțiilor și a proceselor de la server. Dacă dezvoltatorii nu iau un rol activ în utilizarea unor instrumente precum Tamper Data pentru a vedea cum aplicațiile lor răspund la atac, atunci nu vor ști ce să se aștepte și ar putea ajunge să plătească factura pentru televizorul cu plasmă de 60 inch pe care hackerul cumparat pentru 99 de cenți folosind coșul de cumpărături defect.
Pentru mai multe informații despre add-on-ul Data Tamper pentru Firefox, accesați pagina de adăugare Tamper Data Firefox.