Веб-бағдарламаны әзірлеушілер жиі пайдаланушылардың ережелерді ұстанатынына және қолдануға арналған бағдарламаны пайдаланатынынан жиі сенеді, бірақ пайдаланушы (немесе хакердің ) ережелерді қашан бұзатынын қалай біледі? Пайдаланушы веб-интерфейсінің керемет интерфейсін өткізіп, шолғыштың шектеулерсіз сорғыштың астында айнала алмай қалса ше?
Firefox туралы не айтуға болады?
Firefox - хакерлердің көпшілігі үшін таңдаулы браузер, себебі оның плагин модулі достық дизайн. Firefox үшін танымал хакерлік құралдардың бірі - Tamper Data деп аталатын қосымша. Tamper деректері өте күрделі құрал емес, ол қарап шығатын қолданушы мен веб-сайт немесе веб-бағдарлама арасында өздігінен тұратын прокси .
Tamper Data hacker сахналардың артында орын алған HTTP «магия» барлық көріністерін көруге және шатастыруға мүмкіндік береді. Барлық осы GET және POST-ті браузерде көрінетін пайдаланушы интерфейсінің шектеулерсіз басқаруға болады.
Қандай нәрсе?
Неліктен хакерлер Tamper Data сияқты соншалықты көп және веб-бағдарлама әзірлеушілері бұл туралы қамқорлық жасайды? Негізгі себебі - бұл адамға клиент пен сервер арасында (әрі қарай Tamper Data атауы) жіберілген деректерді бұрмалауға мүмкіндік береді. Tamper Data іске қосылғанда және веб-бағдарлама немесе веб-сайт Firefox бағдарламасында іске қосылғанда, Tamper Data пайдаланушы енгізуге немесе өңдеуге мүмкіндік беретін барлық өрістерді көрсетеді. Хакер кейін өрісті «баламалы мәнге» ауыстыра алады және деректерді серверге қалай жіберетінін көру үшін жібере алады.
Неліктен бұл бағдарламаға қауіпті болуы мүмкін
Айтпақшы, хакердің интернет-дүкен сайтына кіріп, виртуалды сатып алу себетіне бір нәрсе қосады. Себетті құрастырған веб-бағдарлама әзірлеушісі арбаны пайдаланушыдан Quantity = «1» секілді мәнді қабылдауға және пайдаланушы интерфейсінің элементін саны үшін алдын ала анықталған таңдауды қамтитын ашылмалы тізімге шектеуі мүмкін.
Hacker пайдаланушыларды «1,2,3,4, 5» сияқты мәндер жиынтығынан таңдауға мүмкіндік беретін ашылмалы терезенің шектеулерін айналып өту үшін Tamper Data-ды қолдануға тырысуы мүмкін. «-1» немесе «.000001» сөзінің басқа мәнін енгізуге тырысыңыз.
Егер әзірлеуші өздерінің кіруді тексеру рәсімін тиісті түрде кодтамаған болса, онда бұл «-1» немесе «.000001» мәні мәннің құнын есептеу үшін пайдаланылатын формулаға (яғни, Баға x саны) өтуі мүмкін. Бұл қателерді тексерудің қаншалықты жүргізіліп жатқандығына және клиент тарапынан келетін деректерде әзірлеушіге қаншалықты сенетініне байланысты күтпеген нәтижелерге әкелуі мүмкін. Егер сауда-саттық қоржыны нашар кодталған болса, онда хакер мүмкін ықтимал үлкен жеңілдік, тіпті сатып алмаған өнімге ақша қайтару, дүкен несиесі немесе басқа білетін адамдарға айналуы мүмкін.
Тампер деректерін пайдаланып веб-қолданбаны дұрыс қолданбау мүмкіндігі шексіз. Егер мен бағдарламалық жасақтама әзірлеуші болсам, онда Tamper Data тәрізді құралдар бар екенін біле отырып, мені түнде ұстауға болады.
Тампер Деректер - қауіпсіздікті қамтамасыз ететін қолданбаларды әзірлеушілер үшін олардың қосымшалары клиенттік деректерді өңдеу шабуылдарына қалай жауап беретінін көру үшін тамаша құрал.
Әзірлеушілер, пайдаланушыны мақсатты іске асыру үшін бағдарламалық жасақтаманы қалай пайдаланатындығына назар аудару үшін жиі қолданылатын Cases жасайды. Өкінішке орай, олар жиі жаман жігіт факторын елемейді. Қолданбалы әзірлеушілер өздерінің жаман жігіттерін киіп, Таймпер Деректер сияқты құралдарды пайдаланып, хакерлерді есепке алу үшін Мысал келтіретін жағдайлар жасайды.
Тұтастай деректер Клиенттік енгізудің расталғанын және транзакцияларға және серверлік процестерге әсер етпес бұрын тексерілгенін тексеру үшін қауіпсіздік сынақтарының арсеналының бөлігі болуы керек. Егер әзірлеушілер AppStore шабуылдарына қалай жауап беретінін көру үшін Tamper Data сияқты құралдарды пайдалануда белсенді рөл атқармаса, олар 60 дюймдік плазмалық теледидар үшін несие төлеуді күтуге болатындығын білмейді және хакерлік әділетті 99 цент үшін сатып алса, олардың дұрыс емес қоржыны бар.
Firefox үшін Tamper Data қосымша қондырмасы туралы қосымша ақпарат алу үшін Tamper Data Firefox қондырма бетіне кіріңіз.