ვებ აპლიკაციის დეველოპერები ხშირად ენდობიან იმას, რომ მომხმარებლების უმეტესობა აპირებს დაიცვას წესები და გამოიყენოს განაცხადი იმის შესახებ, რომ ის გამოიყენება, მაგრამ როგორ ხდება მომხმარებლის (ან ჰაკერი ) წესები? რა მოხდება, თუ მომხმარებელი თავს იკავებს ლამაზი ვებ ინტერფეისით და იწყებს სასადილოში, რომელიც ბრაუზერის მიერ დაწესებული შეზღუდვების გარეშე ხდება?
რა არის Firefox?
Firefox ბრაუზერი არჩევანის საუკეთესო ჰაკერების გამო მისი დანამატი მეგობრული დიზაინი. Firefox- ის ერთ-ერთი ყველაზე პოპულარული ჰაკერი არის Add-on სახელწოდებით Tamper Data. Tamper Data არ არის სუპერ რთული ინსტრუმენტი, ეს მხოლოდ მარიონეტულია, რომელიც ჩანართებს შორის მომხმარებელი და ვებსაიტი ან ვებ აპლიკაცია, რომ ისინი ათვალიერებენ.
Tamper Data- ი საშუალებას აძლევს ჰაკერებს კბილების გასახსნელად დაინახონ და შეაერთონ ყველა HTTP "ჯადოსნური" სცენაზე. ყველა GET და POST- ს შეიძლება მანიპულირება ბრაუზერიდან მომხმარებლის ინტერფეისის მიერ დაწესებული შეზღუდვების გარეშე.
რა ჰგავს?
რატომ ჰაკერების ჰგავს Tamper Data იმდენად და რატომ უნდა ვებ განაცხადის დეველოპერები ზრუნავს ამის შესახებ? მთავარი მიზეზი ისაა, რომ ის საშუალებას აძლევს ადამიანს გადააცილოს მონაცემებს, რომლებიც გაიგზავნება კლიენტსა და სერვერზე (შესაბამისად, სახელი თამპერ მონაცემთა). როდესაც Tamper Data დაიწყო და ვებ აპლიკაცია ან ნახვა დაიწყო Firefox, Tamper Data გამოჩნდება ყველა სფეროში, რომელიც საშუალებას მომხმარებლის შეყვანის ან მანიპულირება. ჰაკერს შეუძლია შეცვალოს "ალტერნატიული ღირებულება" და გააგზავნოს მონაცემები სერვერზე, თუ როგორ რეაგირებს იგი.
რატომ შეიძლება ეს იყოს საშიში განაცხადი
ჰაკერი ეწვია ონლაინ სავაჭრო ობიექტს და დასძენს ერთეულს მათი ვირტუალური კალათაში. ვებ-აპლიკაციის დეველოპერი, რომელმაც კალათის აშენება შეიძინა, შეიძლება მოახდინოს კალათა, რომ ისარგებლოს ღირებულება მომხმარებლისგან, როგორიცაა "Quantity =" 1 "და შეზღუდა ინტერფეისის ელემენტის ჩამოსაშლელი ყუთი, რომელიც შეიცავს წინასწარ შერჩეულ რაოდენობას.
ჰაკერს შეეძლო შეემოწმებინა თამპერ მონაცემები, რათა თავიდან აიცილოს ჩამოსაშლელი ყუთების შეზღუდვა, რომელიც მხოლოდ მომხმარებლებს საშუალებას მისცემს შეარჩიონ ისეთი ღირებულებების კომპლექტი, როგორიცაა "1,2,3,4 და 5. თამპერ მონაცემების გამოყენებით ჰაკერს შეეძლო ვცდილობთ მიუთითოთ "-1" ან ".000001" სხვა ღირებულება.
იმ შემთხვევაში, თუ დეველოპერი არ არის სათანადოდ კოდირებული მათი შეყვანის Validation რუტინული, მაშინ ეს "-1" ან ".000001" ღირებულების შეიძლება დასრულდეს მიმდინარეობს გადაეცემა ფორმულა გამოყენებული გამოთვლა ღირებულება ღირებულება (ანუ ფასი x რაოდენობა). ეს შეიძლება გამოიწვიოს გარკვეული მოულოდნელი შედეგები იმის შესახებ, თუ რამდენად შეცდომის შემოწმება მიმდინარეობს და რამდენად ენდობიან დეველოპერს კლიენტის მხარის მონაცემებში. თუ კალათა ცუდად არის კოდირებული, მაშინ ჰაკერმა შეიძლება შეწყვიტოს უზარმაზარი ფასდაკლება, რომელიც არ არის შეძენილი პროდუქტის, მაღაზიის საკრედიტო, ან ვინ იცის სხვა რამ.
თამპერ მონაცემების გამოყენებით ვებ აპლიკაციის არასწორად გამოყენების შესაძლებლობები გაუთავებელია. თუ დეველოპერი ვიყავი, უბრალოდ ვიცოდი, რომ არსებობს ისეთი ინსტრუმენტები, როგორიცაა თამპერ მონაცემები, რომლითაც ღამით შეინარჩუნებ.
On Flip მხარეს, Tamper მონაცემთა არის შესანიშნავი ინსტრუმენტი უსაფრთხოების შეგნებული განაცხადის დეველოპერები გამოიყენოს, რათა მათ ვხედავ, თუ როგორ მათი განაცხადების რეაგირება კლიენტის მხარის მონაცემების მანიპულირება თავდასხმები.
დეველოპერები ხშირად ქმნიან გამოყენების შემთხვევებს, რათა ყურადღება გაამახვილონ იმაზე, თუ როგორ გამოიყენებს მომხმარებელს პროგრამული უზრუნველყოფის მიზნის მისაღწევად. სამწუხაროდ, ხშირად იგნორირება ცუდი ბიჭი ფაქტორი. აპლიკაციის დეველოპერებმა უნდა განათავსონ თავიანთი ცუდი ბიჭი ქუდები და შექმნან არასწორი შემთხვევები ჰაკერების ანგარიშზე, როგორიცაა ინსტრუმენტები, როგორიცაა Tamper Data.
Tamper Data უნდა იყოს მათი უსაფრთხოების ტესტირების არსენალი, რათა უზრუნველყოს, რომ კლიენტის მხარის შეყვანა შემოწმდა და დადასტურდება, სანამ ის დაშვებულია გარიგებების და სერვერული პროცესების გავლენაზე. იმ შემთხვევაში, თუ დეველოპერები არ იღებენ აქტიურ როლს ისეთი ინსტრუმენტებით, როგორიცაა Tamper Data- ს, თუ როგორ უყურებს მათი განცხადებები თავდასხმის პასუხებს, მაშინ არ იციან, რა ელის და 60-იანი პლაზმური სატელევიზიო ფილმის გადახდა შეიძლება დასრულდეს ჰაკერზე შეიძინა 99 ცენტი მათი არასწორი კალათაში.
დამატებითი ინფორმაციისათვის Tamper Data Add-on for Firefox ეწვევა Tamper Data Firefox Add-on გვერდი.