Web uygulama geliştiricileri çoğu kullanıcının kurallara uyduğunu ve kullanması amaçlandığı şekilde bir uygulama kullandığını, ancak kullanıcının (veya bir bilgisayar korsanının ) kuralları ne zaman büktüğünü ne zaman kullanacağına güveniyor? Bir kullanıcı, fantezi web arayüzünü atlar ve tarayıcı tarafından zorlanan kısıtlamalar olmadan kaputun altında dalgalanmaya başlarsa ne olur?
Firefox Nedir?
Firefox, eklenti dostu tasarımı nedeniyle çoğu bilgisayar korsanı için tercih edilen tarayıcıdır. Firefox için daha popüler olan hacker araçlarından biri, Tamper Verileri adı verilen bir eklentidir. Sabotaj Verileri süper karmaşık bir araç değildir, yalnızca kullanıcı ile web sitesinin veya web uygulamasının taradığı web uygulamasının arasına giren bir proxy'dir .
Sabotaj Verileri, bir hacker'ın perde arkasını arkasından geçen HTTP "büyüsü" ile görmek ve karıştırmak için perdeyi soymasına izin verir. Bu GET'lerin ve POST'ların tümü, tarayıcıda görülen kullanıcı arabiriminin getirdiği kısıtlamalar olmadan manipüle edilebilir.
Ne Gibi?
Öyleyse neden hackerlar Tamper Verileri'ni çok seviyorlar ve neden web uygulama geliştiricileri bunu önemsemeli? Bunun başlıca nedeni, bir kişinin istemci ile sunucu arasında (bu nedenle, Tamper Verisi adı) arasında geri ve ileri gönderilen veriyi kurcalamasına izin vermesidir. Tamper Verisi başlatıldığında ve Firefox'ta bir web uygulaması veya web sitesi başlatıldığında, Tamper Verileri kullanıcı girişine veya manipülasyonuna izin veren tüm alanları gösterir. Bir bilgisayar korsanı, bir alanı "alternatif değer" olarak değiştirebilir ve verileri nasıl tepki verdiklerini görmek için sunucuya gönderebilir.
Neden bu bir uygulama için tehlikeli olabilir
Bir bilgisayar korsanının bir çevrimiçi alışveriş sitesini ziyaret ettiğini ve sanal alışveriş sepetine bir öğe eklediğini varsayalım. Alışveriş sepetini oluşturan web uygulama geliştiricisi, Quantity = "1" gibi bir değeri kabul etmek için arabayı kodlamış olabilir ve kullanıcı arayüzü öğesini, miktar için önceden belirlenmiş seçimleri içeren bir açılan kutuya sınırlandırmış olabilir.
Bir bilgisayar korsanı, kullanıcıların sadece 1,2,3,4 ve 5 gibi bir değerler kümesinden seçim yapmalarına izin veren açılan kutunun kısıtlamalarını atlamak için Sabotaj Verilerini kullanmaya çalışabilir. "-1" veya belki ".000001" gibi farklı bir değer girmeyi deneyin.
Geliştirici, giriş doğrulama rutinini doğru şekilde kodlamamışsa, bu "-1" veya ".000001" değerinin, öğenin maliyetini (yani Fiyat x Miktarı) hesaplamak için kullanılan formüle geçirilmiş olması muhtemeldir. Bu, ne kadar hata kontrolünün devam ettiğine ve geliştiricinin istemci tarafındaki verilerde ne kadar güvendiğine bağlı olarak bazı beklenmedik sonuçlara neden olabilir. Eğer alışveriş sepeti kötü bir şekilde kodlanmışsa, bilgisayar korsanı olası bir istenmeyen büyük indirim, satın almadıkları bir ürün için para iadesi, mağaza kredisi veya başka ne bilecekleri ile sonuçlanabilir.
Bir web uygulamasının Sabotaj Verilerini kullanarak yanlış kullanım olasılıkları sınırsızdır. Bir yazılım geliştiricisi olsaydım, sadece Tamper Data gibi araçların olduğunu bilerek gece beni orada tutardı.
Kapak tarafındaki Tamper Data, güvenlik bilincine sahip uygulama geliştiricileri için, uygulamalarının istemci tarafında veri işleme saldırılarına nasıl tepki verdiklerini görmeleri için mükemmel bir araçtır.
Geliştiriciler, bir kullanıcının bir hedefi gerçekleştirmek için yazılımı nasıl kullanacağına odaklanmak için genellikle Kullanım Durumları oluşturur. Ne yazık ki, genellikle kötü adam faktörünü görmezden gelirler. Uygulama geliştiricilerin kötü adam şapkalarını giymeleri ve Sabotaj Verileri gibi araçları kullanan bilgisayar korsanları için Misuse Cases oluşturmaları gerekiyor.
Kurca Verileri, istemci tarafındaki girdinin, işlemleri ve sunucu tarafı süreçleri etkilemesine izin verilmeden önce doğrulanıp doğrulanmasını sağlamak için güvenlik testi cephanelerinin bir parçası olmalıdır. Geliştiriciler, uygulamalarının saldırıya nasıl tepki verdiğini görmek için Sabotaj Verileri gibi araçların kullanılmasında etkin bir rol üstlenmezse, ne bekleyeceklerini bilemezler ve korsanın yalnızca 60 inçlik plazma TV için ödeme yapmasına neden olabilirler. onların kusurlu alışveriş sepeti kullanarak 99 sent aldım.
Firefox için Tamper Veri Eklentisi hakkında daha fazla bilgi için, Tamper Data Firefox Eklenti Sayfasını ziyaret edin.