Dëmtimi i të dhënave: Add-on Firefox

Zhvilluesit e aplikacioneve të internetit shpesh besojnë se shumica e përdoruesve do të ndjekin rregullat dhe do të përdorin një aplikacion ashtu siç është menduar të përdoren, por si kur përdoruesi (ose hackeri ) bendron rregullat? Po në qoftë se një përdorues hyn në ndërfaqen e zbukuruar të internetit dhe fillon të fluturojë nën kapuç pa kufizimet e vendosura nga shfletuesi?

Çfarë ndodh me Firefox-in?

Firefox është shfletuesi i zgjedhur për shumicën e hakerëve për shkak të dizajnit të tij plug-in miqësor. Një nga mjetet më të njohura hacker për Firefox është një shtesë e quajtur Tamper Data. Dëmtimi i të dhënave nuk është një mjet super i komplikuar, është thjesht një proxy që futet në mes përdoruesit dhe webfaqes ose aplikacionit të internetit që po shfletojnë.

Dëmtimi i të dhënave lejon një haker të heqë mbrapa perden për të parë dhe rrëmujë me të gjithë "magjinë" HTTP që po ndodh prapa skenave. Të gjitha këto GET dhe POST mund të manipulohen pa kufizimet e vendosura nga ndërfaqja e përdoruesit e parë në shfletuesin.

Ç'të pëlqen?

Pra, pse hakerët si Tamper Data aq shumë dhe pse zhvilluesit e aplikacioneve të internetit duhet të kujdesen për të? Arsyeja kryesore është se lejon një person të ngacmoj me të dhënat që dërgohen mbrapa dhe me radhë ndërmjet klientit dhe serverit (prandaj emri i të dhënave Tamper). Kur Fillimi i Tamper Data dhe një aplikacion web ose faqe interneti është nisur në Firefox, Tamper Data do të tregojë të gjitha fushat që lejojnë hyrjen ose manipulimin e përdoruesit. Një haker pastaj mund të ndryshojë një fushë në një "vlerë alternative" dhe t'i dërgojë të dhënat në server për të parë se si reagon.

Pse kjo mund të jetë e rrezikshme për një aplikim

Thoni se një haker po viziton një faqe të blerjeve online dhe shton një artikull në karrocën e tyre virtuale. Zhvilluesi i aplikacionit të uebit i cili ka ndërtuar karrocën e blerjes mund të ketë koduar karrocën për të pranuar një vlerë nga përdoruesi si Sasia = "1" dhe kufizuar elementin e ndërfaqes së përdoruesit në një kuti drop-down që përmban zgjedhje të paracaktuara për sasinë.

Një haker mund të përpiqet të përdorë të dhënat e Tamperit për të anashkaluar kufizimet e kutisë drop-down që lejojnë përdoruesit të zgjedhin nga një sërë vlerash të tilla si "1,2,3,4 dhe 5. Duke përdorur të dhënat e Tamper, hackeri mund përpiquni të futni një vlerë të ndryshme të thonë "-1" ose ndoshta ".000001".

Nëse zhvilluesi nuk ka koduar siç duhet rutinën e validimit të tyre të kontributit, atëherë vlera "-1" ose ".000001" ndoshta mund të përfundojë duke u kaluar në formulën e përdorur për të llogaritur koston e artikullit (p.sh. Çmimi x Sasia). Kjo mund të shkaktojë disa rezultate të papritura në varësi të asaj se sa kontrolli i gabimeve po ndodh dhe sa besim zhvilluesi ka në të dhënat që vijnë nga klienti. Nëse karroca e blerjes është e koduar keq, atëherë hakeri mund të përfundojë duke marrë një zbritje të madhe të mundshme të padëshiruar, një rimbursim për një produkt që as nuk blejnë, një kredi në dyqan apo kush e di çfarë tjetër.

Mundësitë e keqpërdorimit të një aplikacioni të internetit duke përdorur të dhënat e Tamper janë të pafundme. Nëse do të isha një zhvillues i softuerit, vetëm duke e ditur se ka mjete si "Tamper Data", atje do të më mbajnë gjatë natës.

Në anën e kundërt, Tamper Data është një mjet i shkëlqyeshëm për zhvilluesit e aplikacioneve të ndërgjegjshëm të sigurisë që të përdorin në mënyrë që të shohin se si aplikimet e tyre i përgjigjen sulmeve të manipulimit të të dhënave të klientëve.

Zhvilluesit shpesh krijojnë Përdorimi Rastet për t'u fokusuar në atë se si një përdorues do të përdorte softuerin për të arritur një qëllim. Për fat të keq, ata shpesh injorojnë faktorin e keq të djaloshit. Zhvilluesit e aplikacioneve duhet të vënë në kapelet e tyre të keq dhe të krijojnë raste të keqpërdorimit për llogari të hakerëve duke përdorur mjete të tilla si të dhënat e Tamper.

Të dhënat e përgjimeve duhet të jenë pjesë e arsenalit të testimit të sigurisë për të siguruar që informacioni i klientëve të lidhet dhe verifikohet para se të lejohet të ndikojë në transaksionet dhe në proceset e serverit. Nëse zhvilluesit nuk marrin një rol aktiv në përdorimin e mjeteve si "Tamper Data" për të parë se si aplikimet e tyre përgjigjen për të sulmuar, atëherë ata nuk do të dinë se çfarë të presin dhe mund të përfundojnë pagesën e faturës për televizionin prej plazmës prej 60 inç që hackeri blerë për 99 cent duke përdorur karrocat e tyre të dëmtuara.

Për më shumë informacion mbi Shtojcën e të Dhënave të Tamperimit për Firefox vizitoni Faqen e Shtojcës së Firefox-it.