Os desenvolvedores de aplicacións web a miúdo confían en que a maioría dos usuarios van seguir as regras e usan unha aplicación xa que se pretende empregar, pero que tal cando o usuario (ou un hacker ) dobre as regras? E se un usuario salta a interfaz web extravagante e comeza a xogar baixo o capó sen as restricións impostas polo navegador?
Que hai de Firefox?
Firefox é o navegador que se elixe para a maioría dos hackers debido ao seu deseño amigable con plugin. Unha das ferramentas máis populares de hackers para Firefox é un add-on chamado Tamper Data. Tamper Data non é unha ferramenta super complicada, é só un proxy que se insire entre o usuario eo sitio web ou a aplicación web que están navegando.
Tamper Data permite que un hacker descasque a cortina para ver e xogar con toda a "maxia" HTTP que ten lugar detrás de escena. Todos os GETs e POST poden ser manipulados sen as restricións impostas pola interface de usuario que se ve no navegador.
Que é? ¿Como?
Entón, por que hackers como Tamper Data moito e por que os desenvolvedores de aplicacións web se preocupan por iso? A razón principal é que permite que unha persoa manipulemos os datos que se envían entre o cliente eo servidor (de aí o nome Tamper Data). Cando se inicia Tamper Data e se inicia unha aplicación web ou sitio web en Firefox, Tamper Data mostrará todos os campos que permiten a entrada ou a manipulación do usuario. Un hacker pode entón cambiar un campo a un "valor alternativo" e enviar os datos ao servidor para ver como reacciona.
Por que isto pode ser perigoso para unha aplicación
Digamos que un hacker está a visitar un sitio de compras en liña e engade un elemento ao seu carro de compras virtual. O desarrollador de aplicacións web que construíu o carriño de compras pode ter codificado o carro para aceptar un valor do usuario como Cantidade = "1" e restrinxiu o elemento da interface de usuario a un menú despregable que contén seleccións predeterminadas para a cantidade.
Un hacker podería tentar usar Tamper Data para ignorar as restricións da caixa desplegable que só permiten aos usuarios seleccionar dun conxunto de valores como "1,2,3,4 e 5. Usando Tamper Data, o hacker podería tente introducir un valor diferente de dicir "-1" ou quizais ".000001".
Se o desenvolvedor non codificou correctamente a súa rutina de validación de entrada, entón este valor "-1" ou ".000001" podería acabar pasando á fórmula utilizada para calcular o custo do elemento (por exemplo, Prezo x Cantidade). Isto podería causar resultados inesperados dependendo da cantidade de comprobación de erros que se está a seguir e de canto confíe o creador nos datos procedentes do cliente. Se o cesta da compra está mal codificado, entón o hacker pode chegar a obter un posible desconto enorme non desexado, un reembolso nun produto que nin sequera compraron, un crédito na tenda ou quen sabe o que máis.
As posibilidades de mal uso dunha aplicación web que usan Tamper Data son infinitas. Se fose un desenvolvedor de software, só sabendo que hai ferramentas como Tamper Data, alí fóra, manteríame á noite.
No flip side, Tamper Data é unha excelente ferramenta para que os desenvolvedores de aplicacións conscientes da seguridade utilicen para que poidan ver como as súas aplicacións responden aos ataques de manipulación de datos do cliente.
Os desenvolvedores adoitan crear Cases de uso para centrarse en como un usuario utilizaría o software para lograr un obxectivo. Desafortunadamente, moitas veces ignoran o factor mala cara. Os desarrolladores de aplicacións deben poñer os seus malos sombreiros e crear casos de uso indebido para detectar hackers usando ferramentas como Tamper Data.
Tamper Data debería formar parte do seu arsenal de probas de seguridade para axudar a garantir que a entrada do cliente verifique e verifique antes de que se poida afectar as transaccións e os procesos do servidor. Se os desenvolvedores non toman un papel activo no uso de ferramentas como Tamper Data para ver como responden as súas aplicacións a un ataque, entón non saberán o que esperar e poderían acabar pagando a factura por unha TV de plasma de 60 pulgadas que o hacker simplemente Comprou por 99 centavos usando o seu carro de compras defectuoso.
Para máis información sobre Tamper Data Add-on para Firefox, visite a Páxina de complementos de Tamper Data Firefox.