La programistoj de aplikaĵoj retejo ofte fidas, ke la plimulto de uzantoj sekvos la regulojn kaj uzos aplikaĵon, kiel ĝi estas intencata por uzi, sed kiam la uzanto (aŭ hakisto ) klinas la regulojn? Kion se uzanto saltas la fantaran interfacan interfacon kaj ekflugas sub la kapuĉo sen la limigoj postulitaj de la retumilo?
Kio pri Firefox?
Firefox estas la retumilo de elekto por plej multaj piratoj pro ĝia kroma dezajno. Unu el la plej popularaj hakaj iloj por Firefox estas aldon-nomita Tamper Data. Tamper Data ne estas súper komplika ilo, ĝi estas nur prokurilo, kiu enmetas sin inter la uzanto kaj la retejo aŭ retejo, kiun ili vizitas.
Tamper Data permesas al hakisto malŝalti la kurtenon por vidi kaj malŝpari kun ĉiuj HTTP "magiaj" okazantaj malantaŭ la scenoj. Ĉiuj tiuj GETs kaj POSTs povas esti manipulitaj sen la limigoj postulitaj de la interfaco uzata en la retumilo.
Kion vi volas?
Do kial la pirantoj ŝatas Tamper Data tiom multe kaj kial la programistoj de aplikoj retejo prizorgas? La ĉefa kialo estas, ke ĝi permesas al persono plifortigi la datumojn senditaj reen kaj antaŭen inter la kliento kaj la servilo (do la nomo Tamper Data). Kiam Tamper Data estas komencita kaj retejo aŭ retejo retejo lanĉiĝas en Firefox, Tamper Data montros ĉiujn kampojn kiuj permesas al la uzanto enigo aŭ manipulado. Hakisto povas tiam ŝanĝi kampon al "alterna valoro" kaj sendi la datumojn al la servilo por vidi kiel ĝi reagas.
Kial ĉi tio povus esti hazarda al apliko
Diru, ke hakisto vizitas reta aĉetan ejon kaj aldonas eron al sia virtuala butikumado. La retejo-aplikaĵo, kiu konstruis la butikumadon, povas kodigi la ĉaron por akcepti valoron de la uzanto kiel Kvanto = "1" kaj restriktis la uzantan interfacon al malsupren-skatolo kun antaŭdeterminitaj elektoj por kvanto.
Hakisto povus provi uzi Tamper Data por preterlasi la restriktojn de la malsupren-skatolo, kiu nur permesas al la uzantoj elekti el aro de valoroj kiel "1,2,3,4 kaj 5. Uzante Tamper Data, la hakisto povus provu eniri malsaman valoron de diri "-1" aŭ eble ".000001".
Se la programisto ne taŭge kodis sian enhavan validan rutinon, tiam ĉi tiu valoro "-1" aŭ ".000001" eble finiĝos al la formulo uzita por kalkuli la koston de la ero (te Prezo x Kvanto). Ĉi tio povus kaŭzi iujn neatenditajn rezultojn laŭ kiom da eraroj kontrolas kaj kiom da fido, kiun la programisto havas en la datumoj de la kliento-flanko. Se la butikumado estas malbone kodita, tiam la hakisto povas fini akiri ebla nevolanta grandegan rabaton, reagon al produkto, kiun ili eĉ ne aĉetis, butikon krediton aŭ kiu scias kio alian.
La ebloj pri misuzo de TTT-aplikaĵo uzante Tamper Data estas senfinaj. Se mi estus programisto, nur sciante, ke ekzistas iloj, kiel Tamper Data ekstere restus min nokte.
Sur la flip-flanko, Tamper Data estas bonega ilo por sekurecaj konsciaj programistoj por uzi tiel, ke ili povas vidi kiel iliaj aplikoj respondas al klient-flanka manipulado-atakoj.
Ellaborantoj ofte kreas Uzajn Kazojn por fokusigi kiel uzanto uzus la programaron por plenumi celon. Bedaŭrinde, ili ofte ignoras la malbonan homon. La programistoj de aplikoj bezonas meti siajn malbonajn homajn ĉapelojn kaj krei Misuzajn Kazojn por kontrakti hackers uzante ilojn kiel Tamper Data.
Tamper-Datumoj devus esti parto de sia sekureca test-arsenalo por helpi certigi, ke klient-flanka enigo validas kaj kontrolas antaŭ ol ĝi rajtas influi transakciojn kaj servilflankajn procezojn. Se programistoj ne okupas aktivan rolon en uzado de iloj kiel Tamper Data por vidi kiel iliaj aplikoj respondas al atako, tiam ili ne scios, kion atendi kaj povus fini pagi la bileton por 60-coloj-plasma televido, ke la hakisto ĝuste aĉetis por 99 centonoj uzante sian difektan butikumadon.
Por pli da informoj pri la Tamper Data Add-on por Firefox vizitu la Tamper Data Data Add-on Page.