Interneto programų kūrėjai dažnai pasitiki, kad dauguma vartotojų ketina laikytis taisyklių ir naudoti programą, kaip ji ketina būti naudojama, bet kaip apie tai, kada vartotojas (ar įsilaužėlis) sulinko taisykles? Ką daryti, jei vartotojas praleidžia išgalvotą žiniatinklio sąsają ir pradeda dainuoti po gaubtu be apribojimų, kuriuos nustato naršyklė?
Ką apie "Firefox"?
"Firefox" yra daugelio įsilaužėlių pasirinkta naršyklė, nes ji yra suderinama su "plug-in" draugišku dizainu. Vienas iš populiariausių "Firefox" įsilaužėlių įrankių yra papildomas "Tamper Data" pavadinimas. "Tamper Data" nėra labai sudėtingas įrankis, tai tik tarpinis serveris, kuris įkelia save tarp vartotojo ir žiniatinklio programos ar naršyklės.
"Tamper Data" leidžia įsilaužėliui nulengti užuolaidą, kad galėtumėte peržiūrėti ir sutramdyti visas HTTP "stebuklus", vykstančius už scenų. Visi šie GET ir POST gali būti manipuliuojami be apribojimų, kuriuos nustato naršyklėje matoma vartotojo sąsaja.
Kas nori?
Taigi kodėl įsilaužėliai panašūs į "Tamper Data" ir kodėl interneto programų kūrėjai rūpinasi, kad tai būtų? Pagrindinė priežastis yra tai, kad jis leidžia asmeniui pažeisti kliento ir serverio siunčiamus duomenis (taigi ir pavadinimą "Tamper Data"). Kai "Tamper Data" paleidžiama ir "Firefox" paleidžiama žiniatinklio programa ar svetainė, "Tamper Data" bus rodomi visi laukai, leidžiantys vartotojui įvesti ar manipuliuoti. Įsilaužėlis gali pakeisti lauką į "alternatyvią vertę" ir siųsti duomenis į serverį, kad sužinotumėte, kaip jis reaguoja.
Kodėl tai gali būti pavojinga paraiškai
Pasakykite, kad įsilaužėlis apsilanko internetinėje parduotuvių svetainėje ir įtraukia elementą į savo virtualų pirkinių krepšelį. Interneto programinės įrangos kūrėjas, kuris sukūrė pirkinių krepšelį, gali koduoti krepšelį, kad vartotojas gautų tokią vertę kaip Kiekis = "1" ir apribojo naudotojo sąsajos elementą išskleidžiamajame dėžute su iš anksto nustatytais kiekio pasirinkimais.
Įsilaužėlis gali bandyti naudoti "Tamper Data", kad apeitų išskleidžiamojo meniu apribojimus, kurie leidžia vartotojams pasirinkti tik tokias vertes kaip 1, 2, 3, 4 ir 5. Naudojant "Tamper Data", įsilaužėlis gali pabandyti įvesti kitokią sakinio reikšmę "-1" arba galbūt ".000001".
Jei kūrėjas neteisingai užkodavo savo įvesties patvirtinimo tvarką, tada ši "-1" arba ".000001" vertė gali būti perduota į formulę, naudojamą elemento kainai apskaičiuoti (pvz., Kaina x kiekis). Dėl to gali atsirasti netikėtų rezultatų, priklausomai nuo to, kiek klaidų tikrinimas vyksta ir kiek pasikliauti kūrėjui iš kliento gaunamų duomenų. Jei pirkinių krepšelis yra blogai koduotas, įsilaužėlis gali gauti galimą nenumatytą didžiulę nuolaidą, grąžinamą sumą už produktą, kurio jie net nepardavė, parduotuvės kreditą ar kas žino, kas dar.
Netinkamai naudojant žiniatinklio programą naudojant "Tamper Data" galimybės yra begalinės. Jei buvau programinės įrangos kūrėjas, tiesiog žinodamas, kad tokie įrankiai kaip "Tamper Data" ten išliks naktį.
Panašiai, "Tamper Data" yra puikus įrankis, kuriuo vadovaudamiesi saugūs taikomųjų programų kūrėjai gali naudoti, kad galėtų sužinoti, kaip jų programos veikia kliento duomenų manipuliavimo atakoms.
Programuotojai dažnai kuria "Naudojimo atvejus", siekdami sutelkti dėmesį, kaip vartotojas naudoja programinę įrangą, kad pasiektų tikslą. Deja, jie dažnai ignoruoja blogo vyro veiksnį. Programų kūrėjai turi įdėti savo blogų vaikinų skrybėles ir sukurti "piktnaudžiavimo atvejus", kad būtų galima įsileisti įsilaužėlius, naudojant tokius įrankius kaip "Tamper Data".
Tamperio duomenys turėtų būti jų saugos analizės arsenalo dalis, siekiant užtikrinti, kad kliento įvestis būtų patvirtinta ir patvirtinta, kol ji leis paveikti sandorius ir serverio puses. Jei kūrėjai aktyviai nesinaudoja tokiais įrankiais, kaip "Tamper Data", norėdami pamatyti, kaip jų programos reaguoja į ataką, jie nežinos, ko tikėtis ir galų gale gali sumokėti sąskaitą už "Plasma TV", kurią įsigijo hakeris už 99 centus, naudodamiesi savo trūkumų turinčia krepšeliu.
