Interneto programų kūrėjai dažnai pasitiki, kad dauguma vartotojų ketina laikytis taisyklių ir naudoti programą, kaip ji ketina būti naudojama, bet kaip apie tai, kada vartotojas (ar įsilaužėlis ) sulinko taisykles? Ką daryti, jei vartotojas praleidžia išgalvotą žiniatinklio sąsają ir pradeda dainuoti po gaubtu be apribojimų, kuriuos nustato naršyklė?
Ką apie "Firefox"?
"Firefox" yra daugelio įsilaužėlių pasirinkta naršyklė, nes ji yra suderinama su "plug-in" draugišku dizainu. Vienas iš populiariausių "Firefox" įsilaužėlių įrankių yra papildomas "Tamper Data" pavadinimas. "Tamper Data" nėra labai sudėtingas įrankis, tai tik tarpinis serveris, kuris įkelia save tarp vartotojo ir žiniatinklio programos ar naršyklės.
"Tamper Data" leidžia įsilaužėliui nulengti užuolaidą, kad galėtumėte peržiūrėti ir sutramdyti visas HTTP "stebuklus", vykstančius už scenų. Visi šie GET ir POST gali būti manipuliuojami be apribojimų, kuriuos nustato naršyklėje matoma vartotojo sąsaja.
Kas nori?
Taigi kodėl įsilaužėliai panašūs į "Tamper Data" ir kodėl interneto programų kūrėjai rūpinasi, kad tai būtų? Pagrindinė priežastis yra tai, kad jis leidžia asmeniui pažeisti kliento ir serverio siunčiamus duomenis (taigi ir pavadinimą "Tamper Data"). Kai "Tamper Data" paleidžiama ir "Firefox" paleidžiama žiniatinklio programa ar svetainė, "Tamper Data" bus rodomi visi laukai, leidžiantys vartotojui įvesti ar manipuliuoti. Įsilaužėlis gali pakeisti lauką į "alternatyvią vertę" ir siųsti duomenis į serverį, kad sužinotumėte, kaip jis reaguoja.
Kodėl tai gali būti pavojinga programai
Pasakykite, kad įsilaužėlis apsilanko internetinėje parduotuvių svetainėje ir įtraukia elementą į savo virtualų pirkinių krepšelį. Interneto programinės įrangos kūrėjas, kuris sukūrė pirkinių krepšelį, gali koduoti krepšelį priimti naudotojui tokią vertę kaip "Kiekis =" 1 "ir apribojo naudotojo sąsajos elementą išplečiamuoju laukeliu su iš anksto nustatytomis kiekio parinktimis.
Įsilaužėlis gali bandyti naudoti "Tamper Data", kad apeitų išskleidžiamojo meniu apribojimus, kurie leidžia vartotojams pasirinkti tik tokias vertes kaip "1,2,3,4 ir 5." Naudojant "Tamper Data", įsilaužėlis gali pabandykite įvesti kitą reikšmę pasakyti "-1" arba galbūt ".000001".
Jei kūrėjas neteisingai užkodavo savo įvesties patvirtinimo tvarką, tada ši "-1" arba ".000001" vertė galiausiai gali būti perkelta į formulę, naudojamą elemento kainai apskaičiuoti (ty kaina x kiekis). Dėl to gali atsirasti netikėtų rezultatų, priklausomai nuo to, kiek klaidų tikrinimas vyksta ir kiek pasikliauti kūrėjui iš kliento gaunamų duomenų. Jei pirkinių krepšelis yra blogai koduotas, įsilaužėlis gali gauti galimą nenumatytą didžiulę nuolaidą, grąžinamą sumą už produktą, kurio jie net nepardavė, parduotuvės kreditą ar kas žino, kas dar.
Netinkamai naudojant žiniatinklio programą naudojant "Tamper Data" galimybės yra begalinės. Jei buvau programinės įrangos kūrėjas, tiesiog žinodamas, kad tokie įrankiai kaip "Tamper Data" ten išliks naktį.
Panašiai, "Tamper Data" yra puikus įrankis, kuriuo vadovaudamiesi saugūs taikomųjų programų kūrėjai gali naudoti, kad galėtų sužinoti, kaip jų programos veikia kliento duomenų manipuliavimo atakoms.
Programuotojai dažnai kuria Naudojimo atvejus, siekdami sutelkti dėmesį, kaip vartotojas naudoja programinę įrangą, kad pasiektų tikslą. Deja, jie dažnai ignoruoja blogo vyro veiksnį. Programų kūrėjai turi įdėti savo blogų vaikinų skrybėles ir kurti piktnaudžiavimo atvejus, kad galėtų atsižvelgti į įsilaužėlius, naudojančius tokius įrankius kaip "Tamper Data".
Tamperio duomenys turėtų būti jų saugos analizės arsenalo dalis, siekiant užtikrinti, kad kliento įvestis būtų patvirtinta ir patvirtinta, kol ji leis paveikti sandorius ir serverio puses. Jei kūrėjai aktyviai nesinaudoja įrankiais, pvz., "Tamper Data", norėdami sužinoti, kaip jų programos reaguoja į ataką, jos nežinos, ko tikėtis ir galbūt galėtų sumokėti sąskaitą už 60 colių plazminį televizorių, kuris tik įsilaužėlis nupirko už 99 centus, naudodamiesi savo trūkumų turinčia krepšeliu.
Norėdami gauti daugiau informacijos apie "Firefox" priskirtą "Tamper Data" priedą, apsilankykite "Tamper Data" papildinio "Firefox" papildomame puslapyje.