Data Tamper: افزونه فایرفاکس

توسعه دهندگان وب اغلب اعتقاد دارند که بیشتر کاربران قصد پیروی از قوانین و استفاده از برنامه را دارند، همانطور که در نظر گرفته شده است، اما چگونه در مورد زمانی که کاربر (یا هکر ) قوانین را خم می کند؟ اگر یک کاربر یک رابط وب فانتزی را از بین ببرد و بدون محدودیت های مرورگر اعمال کند، در زیر هود قرار می گیرد؟

درباره فایرفاکس چیست؟

فایرفاکس به دلیل پلاگین طراحی دوستانه مرورگر انتخابی برای اکثر هکرها است. یکی از محبوب ترین ابزار هکر برای فایرفاکس یک افزونه به نام Tamper Data است. اطلاعات تامر یک ابزار فوق العاده پیچیده نیست، بلکه صرفا یک پروکسی است که خود را در بین کاربر و وب سایت یا برنامه وب که در حال مرور هستند قرار می دهد.

Data Tamper اجازه می دهد تا هکر را به پوست پشت پرده را برای مشاهده و ظروف سرباز یا مسافر با تمام "سحر و جادو" HTTP انجام پشت صحنه. تمام این GET ها و POST ها را می توان بدون محدودیت های ناشی از رابط کاربر دیده شده در مرورگر دستکاری کرد.

چه چیزی دوست دارید؟

پس چرا هکرها مانند Tamper Data را خیلی دوست دارند و چرا توسعه دهندگان وب باید از آن مراقبت کنند؟ دلیل اصلی این است که به شخص اجازه می دهد تا داده ها را بین مشتری و سرور (به همین ترتیب نام Tamper Data) فرستاده شود. هنگامی که Tamper Data شروع می شود و یک برنامه وب یا وب سایت در فایرفاکس راه اندازی می شود، Data Tamper تمام زمینه هایی را که امکان ورود یا دستکاری کاربر را فراهم می کنند نشان می دهد. یک هکر می تواند یک فیلد را به یک مقدار متناوب تغییر دهد و داده ها را به سرور ارسال کند تا ببیند چگونه واکنش نشان می دهد.

چرا این ممکن است برای یک برنامه خطرناک باشد

بگو هکر یک سایت خرید آنلاین را می بیند و یک مورد را به سبد خرید مجازی خود اضافه می کند. توسعهدهنده وب که سبد خرید را تهیه کرد ممکن است سبد خرید را برای پذیرش یک مقدار از کاربر مانند مقدار = "1" رمزگشایی کند و عنصر رابط کاربر را به یک جعبه کشویی که شامل انتخاب پیش تعیین شده برای مقدار محدود شده است، محدود کند.

یک هکر می تواند از Tamper Data برای جلوگیری از محدودیت های جعبه کشویی استفاده کند که فقط کاربران را قادر می سازد تا از مجموعه ای از مقادیر مانند «1،2،3،4 و 5 استفاده کنند.» استفاده از Tamper Data، هکر می تواند سعی کنید مقدار دیگری از عبارت "-1" یا شاید ".000001" را وارد کنید.

اگر توسعهدهنده روش معمول اعتبار ورودی خود را نداشته باشد، این مقدار "-1" یا ".000001" احتمالا ممکن است در نهایت به فرمول مورد استفاده برای محاسبه هزینه مورد (به عنوان مثال قیمت x تعداد) منتقل شود. این امر می تواند نتایجی غیر منتظره ای را بسته به اینکه چه مقدار بررسی خطا در حال انجام است و میزان اطمینان توسعه دهندگان در داده ها از سمت سرویس گیرنده را افزایش می دهد. اگر سبد خرید ضعیف شده باشد، هکر ممکن است در نهایت یک تخفیف بزرگ غیرمنتظره احتمالی، بازپرداخت محصولی که حتی خرید نکرد، اعتبار فروشگاه یا کسی که چیز دیگری را می داند، پایان می دهد.

امکان استفاده صحیح یک برنامه وب با استفاده از Data Tamper بی پایان است. اگر من یک توسعه دهنده نرم افزار بودم، فقط دانستم که ابزارهایی مانند Tamper Data وجود دارد که در آنجا وجود دارد.

در قسمت flip، Tamper Data یک ابزار عالی برای توسعه دهندگان نرم افزارهای امنیتی محسوب می شود تا بتوانند ببینند که چگونه برنامه های کاربردی خود را به حملات دستکاری داده های مشتری پاسخ می دهند.

توسعه دهندگان اغلب موارد استفاده را ایجاد می کنند تا تمرکز کنند که چگونه کاربر از نرم افزار برای انجام یک هدف استفاده می کند. متأسفانه، آنها اغلب عامل فاسد بد را نادیده می گیرند. توسعه دهندگان برنامه باید کلاه های پسر بد خود را بسازند و مسائل مربوط به سوءاستفاده را برای هکرها با ابزارهایی مانند Tamper Data حساب کنند.

اطلاعات تامر باید بخشی از زرادخانه امتحان امنیتی خود باشند تا اطمینان حاصل شود که ورودی های سمت سرویس گیرنده معتبر و تأیید شده قبل از اینکه مجاز به تاثیر گذاری بر معاملات و پردازش های سمت سرور باشد. اگر توسعه دهندگان نقش مهمی در استفاده از ابزارهایی مانند Tamper Data نداشته باشند تا ببینند که چگونه برنامه های کاربردی خود را به حمله پاسخ می دهند، آنها نمی دانند چه انتظاری دارند و می توانند پرداخت صورتحساب برای تلویزیون پلاسمای 60 اینچی را که هکر فقط با استفاده از سبد خرید معیوب برای 99 سنت خریداری شد.

برای اطلاعات بیشتر در مورد Add-on Tamper Data برای فایرفاکس از صفحه Add-on Tamper Data Firefox بازدید کنید.