Οι προγραμματιστές εφαρμογών ιστού συχνά πιστεύουν ότι οι περισσότεροι χρήστες πρόκειται να ακολουθήσουν τους κανόνες και να χρησιμοποιήσουν μια εφαρμογή όπως αυτή προορίζεται να χρησιμοποιηθεί, αλλά τι γίνεται όταν ο χρήστης (ή ένας χάκερς) κάμπτει τους κανόνες; Τι γίνεται αν ένας χρήστης παραβλέπει τη φανταχτερή διεπαφή ιστού και ξεκινά να ανακατεύει κάτω από την κουκούλα χωρίς τους περιορισμούς που επιβάλλει το πρόγραμμα περιήγησης;
Τι είναι το Firefox;
Ο Firefox είναι ο προτιμώμενος περιηγητής για τους περισσότερους χάκερ λόγω του φιλικού σχεδιασμού του plug-in. Ένα από τα πιο δημοφιλή εργαλεία χάκερ για τον Firefox είναι ένα add-on που ονομάζεται Tamper Data. Τα Tamper Data δεν είναι ένα υπερβολικά πολύπλοκο εργαλείο, είναι απλά ένας πληρεξούσιος που εισάγει τον εαυτό του μεταξύ του χρήστη και της ιστοσελίδας ή της διαδικτυακής εφαρμογής που επισκέπτεται.
Τα δεδομένα Tamper επιτρέπουν σε έναν χάκερ να ξεφλουδίσει την κουρτίνα για να δει και να ανακατωθεί με όλη τη "μαγική" HTTP που λαμβάνει χώρα πίσω από τις σκηνές. Όλα αυτά τα GET και POST μπορούν να χρησιμοποιηθούν χωρίς τους περιορισμούς που επιβάλλει η διεπαφή χρήστη που εμφανίζεται στο πρόγραμμα περιήγησης.
Τι να σας αρέσει;
Γιατί λοιπόν οι hackers όπως τα δεδομένα Tamper τόσο πολύ και γιατί οι προγραμματιστές εφαρμογών web ενδιαφέρονται γι 'αυτό; Ο κύριος λόγος είναι ότι επιτρέπει σε ένα άτομο να παραβιάζει τα δεδομένα που αποστέλλονται μεταξύ του πελάτη και του διακομιστή (εξ ου και το όνομα Tamper Data). Όταν ξεκινήσει η λειτουργία Tamper Data και ξεκινάει μια εφαρμογή ή ένας ιστότοπος στον ιστό στον Firefox, τα Tamper Data θα εμφανίζουν όλα τα πεδία που επιτρέπουν την εισαγωγή ή τον χειρισμό από τους χρήστες. Ένας χάκερ μπορεί στη συνέχεια να αλλάξει ένα πεδίο σε μια "εναλλακτική τιμή" και να στείλει τα δεδομένα στο διακομιστή για να δει πώς αντιδρά.
Γιατί αυτό μπορεί να είναι επικίνδυνο για μια εφαρμογή
Πείτε ότι ένας χάκερ επισκέπτεται έναν ιστότοπο ηλεκτρονικών αγορών και προσθέτει ένα στοιχείο στο εικονικό καλάθι αγορών του. Ο προγραμματιστής εφαρμογών ιστού που δημιούργησε το καλάθι αγορών μπορεί να έχει κωδικοποιήσει το καλάθι για να δεχθεί μια τιμή από τον χρήστη, όπως Ποσότητα = "1" και περιορίζει το στοιχείο διεπαφής χρήστη σε ένα αναπτυσσόμενο πλαίσιο που περιέχει προκαθορισμένες επιλογές για την ποσότητα.
Ένας χάκερ θα μπορούσε να επιχειρήσει να χρησιμοποιήσει δεδομένα Tamper για να παρακάμψει τους περιορισμούς του αναπτυσσόμενου πλαισίου που επιτρέπουν μόνο στους χρήστες να επιλέξουν από ένα σύνολο τιμών όπως 1, 2, 3, 4 και 5. Χρησιμοποιώντας Tamper Data, ο χάκερ θα μπορούσε να δοκιμάσει για να εισαγάγετε μια διαφορετική τιμή λέγοντας "-1" ή ίσως ".000001".
Εάν ο προγραμματιστής δεν έχει κωδικοποιήσει σωστά την ρουτίνα επικύρωσης εισόδου, τότε αυτή η τιμή "-1" ή ".000001" θα μπορούσε να περάσει στον τύπο που χρησιμοποιείται για τον υπολογισμό του κόστους του στοιχείου (π.χ. Τιμή x Ποσότητα). Αυτό θα μπορούσε να προκαλέσει κάποια απροσδόκητα αποτελέσματα ανάλογα με το πόσο λάθος γίνεται ο έλεγχος και πόση εμπιστοσύνη έχει ο προγραμματιστής στα δεδομένα που προέρχονται από την πλευρά του πελάτη. Εάν το καροτσάκι είναι κακώς κωδικοποιημένο, τότε ο χάκερ μπορεί να καταλήξει να πάρει μια πιθανή ακούσια τεράστια έκπτωση, μια επιστροφή χρημάτων για ένα προϊόν που ούτε καν αγόρασε, ούτε πίστωση καταστήματος, ούτε ποιος ξέρει τι άλλο.
Οι δυνατότητες κατάχρησης μιας εφαρμογής Ιστού που χρησιμοποιεί δεδομένα Tamper είναι ατελείωτες. Αν ήμουν προγραμματιστής λογισμικού, απλά γνωρίζοντας ότι υπάρχουν εργαλεία όπως Tamper Data εκεί έξω θα με κρατούσε μέχρι τη νύχτα.
Από την άλλη πλευρά, τα Tamper Data είναι ένα εξαιρετικό εργαλείο για τους υπεύθυνους ανάπτυξης εφαρμογών που χρησιμοποιούν την ασφάλεια, ώστε να μπορούν να δουν πώς οι εφαρμογές τους ανταποκρίνονται στις επιθέσεις χειρισμού δεδομένων από πλευράς πελάτη.
Οι προγραμματιστές δημιουργούν συχνά "Χρήση υποθέσεων" για να εστιάσουν στο πώς ένας χρήστης θα χρησιμοποιήσει το λογισμικό για να επιτύχει ένα στόχο. Δυστυχώς, συχνά αγνοούν τον παράγοντα του κακού. Οι προγραμματιστές εφαρμογών πρέπει να τοποθετήσουν τα κακά τους καπέλα και να δημιουργήσουν "περιπτώσεις κακής χρήσης" για να λογοδοτήσουν τους χάκερ χρησιμοποιώντας εργαλεία όπως τα δεδομένα Tamper.
Τα δεδομένα Tamper θα πρέπει να αποτελούν μέρος του οπλοστάσιου δοκιμών ασφαλείας για να διασφαλίσουν ότι η είσοδος στην πλευρά του πελάτη επικυρώνεται και επαληθεύεται πριν επιτρέψει να επηρεάσει τις συναλλαγές και τις διαδικασίες διακομιστή. Εάν οι προγραμματιστές δεν παίρνουν ενεργό ρόλο στη χρήση εργαλείων όπως Tamper Data για να δουν πώς οι εφαρμογές τους ανταποκρίνονται σε επίθεση, τότε δεν θα ξέρουν τι να περιμένουν και θα μπορούσαν να καταλήξουν να πληρώσουν το λογαριασμό για τηλεόραση πλάσματος 60 "που ο χάκερ μόλις αγόρασε για 99 σεντς χρησιμοποιώντας το ελαττωματικό καλάθι αγορών τους.
