Կեղծարարների տվյալներ. Firefox հավելվածը

Վեբ հավելվածի մշակողները հաճախ վստահում են, որ օգտվողների մեծ մասը պատրաստվում է հետեւել կանոններին եւ կիրառել այնպիսի ծրագիր, որը նախատեսված է օգտագործվել, սակայն այն մասին, թե երբ օգտվողը (կամ հակերը ) թեքում է կանոնները: Ինչ, եթե օգտագործողը հեռացնում է զարմանալի վեբ ինտերֆեյսը եւ սկսում է խառնաշփոթը շրջել ներքեւում, առանց բրաուզերի կողմից կիրառվող խոչընդոտների:

Ինչ վերաբերում է Firefox- ին

Firefox- ը հաքերների մեծամասնության համար ընտրված զննարկիչն է, քանի որ նրա պլանշետը բարեկամական դիզայնով է: Firefox- ի ավելի հայտնի հակերային գործիքներից մեկը լրացուցիչ հավելված է, որը կոչվում է Tamper Data: Tamper Data- ը սուպեր բարդ գործիք չէ, այն պարզապես վստահված անձ է, որը ներկառուցվում է օգտագործողի եւ վեբ-ի կամ վեբ-ի միջեւ, որը նրանք դիտում են:

Tamper Data- ը թույլ է տալիս hacker- ը ետ վերցնել վարագույրը `տեսնելու եւ խառնաշփոթելու HTTP« կախարդական »բոլոր տեսարանների հետեւում: Բոլոր այդ GET- ները եւ POST- ն կարող են մանեւվել առանց դիտարկիչում դիտվող ինտերֆեյսի կիրառած սահմանափակումների:

Ինչ է ուզում

Այնպես որ, ինչու hackers նման Tamper Data այնքան էլ, եւ ինչու պետք է վեբ հավելվածի մշակողները խնամքի մասին: Հիմնական պատճառն այն է, որ այն թույլ է տալիս անձին կեղծել հաճախորդի եւ սերվերի միջեւ (այսինքն `Tamper Data անունը) հետ ուղարկված տվյալները: Երբ Tamper Data- ը սկսվում է եւ Firefox- ում գործարկվում է վեբ հավելված կամ կայք, Tamper Data- ը ցույց կտա բոլոր դաշտերը, որոնք թույլ են տալիս մուտք գործել կամ մանիպուլյացիա: Հաքերը կարող է դաշտը փոխել «այլընտրանքային արժեքի» եւ տվյալների փոխանցել սերվերին `տեսնելու, թե ինչպես է այն արձագանքում:

Ինչու կարող է վտանգավոր լինել դիմումի համար

Ահա հակերը այցելում է առցանց գնումների կայք եւ ավելացնում իր ապրանքը իրենց վիրտուալ զամբյուղում: Զննարկչի զենքը կառուցած վեբ հավելվածի մշակողը կարող է կոդավորել կոճակը, որպեսզի ընդունի արժեքը օգտագործողի կողմից, օրինակ, Քանակի = "1" եւ սահմանափակվի օգտագործողի ինտերֆեյսի տարրը, քանակի համար նախատեսված նախընտրական ընտրանքները պարունակող մի անկումը:

Հաքերները կարող էին փորձել օգտագործել Tamper Data- ը շրջանցելու համար թողարկվող արկղի սահմանափակումները, որոնք թույլ են տալիս օգտվողներին ընտրել այնպիսի արժեքների շարք, ինչպիսիք են «1,2,3,4 եւ 5. Օգտագործելով Tamper Data, հակերը կարող է փորձեք մուտք գործել այլ արժեք, ասեք «-1» կամ գուցե «.000001»:

Եթե ​​մշակողը չի պատշաճ կերպով կոդավորեց իրենց մուտքի վավերացման ռեժիմը, ապա այս «-1» կամ «.000001» արժեքը կարող է ավարտվել մինչեւ ապրանքի արժեքը հաշվարկելիս օգտագործվող բանաձեւին (այսինքն, Գնային x Քանակ): Սա կարող է հանգեցնել որոշակի անսպասելի արդյունքների `կախված նրանից, թե որքան սխալ է ստուգվում, եւ որքան վստահ է մշակողին, հաճախորդի կողմից ստացված տվյալների մեջ: Եթե ​​զամբյուղը վատ է կոդավորված, ապա հակերը կարող է ավարտին հասցնել հնարավոր unintended հսկայական զեղչը, փոխհատուցել այն ապրանքի վրա, որը նրանք նույնիսկ չեն գնել, խանութի վարկի կամ ով գիտի:

Թիրախային տվյալներ օգտագործող վեբ հավելվածի չարաշահման հնարավորությունները անվերջ են: Եթե ​​ես ծրագրավորող լինեի, պարզապես իմանալով, որ կան գործիքներ, ինչպիսիք են Tamper Data- ը, ինձ գիշերը կպահի:

Թռիչքային կողմում, Tamper Data- ը հիանալի գործիք է անվտանգության կիրառման համար, որը կիրառելի է կիրառման մշակողների համար, որպեսզի նրանք կարողանան տեսնել, թե ինչպես են իրենց ծրագրերը արձագանքում հաճախորդի կողմից տվյալների մանիպուլյացիայի հարձակումներին:

Ստեղծագործները հաճախ օգտագործում են Օգտագործման դեպքեր `կենտրոնանալու այն բանի վրա, թե ինչպես է օգտագործողը օգտագործելու ծրագրային ապահովման նպատակն իրականացնելու համար: Ցավոք, նրանք հաճախ անտեսում են վատ տղայի գործոնը: Հավելվածի մշակողները պետք է իրենց վատ տղաների գլխարկները դնեն եւ կեղծ սխալներ ստեղծեն հակերների համար, որոնք օգտագործում են այնպիսի գործիքներ, ինչպիսիք են Թամպեր Տվյալները:

Խարդախության տվյալները պետք է լինեն իրենց անվտանգության փորձարկման զինանոցի մի մասը, որպեսզի ապահովեն, որ հաճախորդի կողմից մուտքագրումը վավերացվի եւ ստուգվի, քանի որ այն թույլատրվում է ազդել գործարքների եւ սերվերային գործընթացների վրա: Եթե ​​մշակողները ակտիվ դեր չեն խաղում այնպիսի գործիքներ օգտագործելու համար, ինչպիսիք են Tamper Data- ը, տեսնելով, թե ինչպես են իրենց ծրագրերը արձագանքում հարձակմանը, ապա նրանք չգիտեն, թե ինչ կարելի է ակնկալել եւ կարող է ավարտին հասցնել օրինագիծը 60-դյույմանոց պլազմային հեռուստատեսության համար, գնել է 99 ցենտ, օգտագործելով իրենց թերի առեւտրային զամբյուղը:

Firefox- ի լրացուցիչ տվյալների հավելվածի մասին լրացուցիչ տեղեկությունների համար այցելեք Թաքնված տվյալներ Firefox հավելվածը: