Twórcy aplikacji internetowych często ufają, że większość użytkowników będzie postępować zgodnie z zasadami i korzystać z aplikacji, ponieważ ma być używana, ale co z tym, kiedy użytkownik (lub haker) zgina reguły? Co się stanie, jeśli użytkownik opuści fantazyjny interfejs sieciowy i zacznie bawić się pod maską bez ograniczeń nałożonych przez przeglądarkę?
A co z Firefoksem?
Firefox jest przeglądarką najczęściej wybieraną przez hakerów ze względu na przyjazny wygląd wtyczki. Jednym z bardziej popularnych narzędzi hakerskich dla Firefoksa jest dodatek o nazwie Tamper Data. Tamper Data nie jest super skomplikowanym narzędziem, jest jedynie pośrednikiem, który umieszcza się pomiędzy użytkownikiem a przeglądaną stroną internetową lub aplikacją internetową.
Sabotaż danych pozwala hakerowi odciąć zasłonę, aby zobaczyć i zlać całą "magię" HTTP odbywającą się za kulisami. Wszystkie te GET i POST można manipulować bez ograniczeń nałożonych przez interfejs użytkownika widziany w przeglądarce.
Co chcesz polubić?
Dlaczego więc hakerzy tacy jak Tamper Data tak bardzo i dlaczego deweloperzy aplikacji internetowych mają na to ochotę? Głównym powodem jest to, że osoba ta może manipulować danymi przesyłanymi w obie strony między klientem a serwerem (stąd nazwa "Tamper Data"). Po uruchomieniu aplikacji Tamper Data i uruchomieniu aplikacji internetowej lub witryny w przeglądarce Firefox program Tamper Data wyświetli wszystkie pola, które umożliwiają wprowadzanie danych lub manipulowanie nimi. Haker może następnie zmienić pole na "alternatywną wartość" i wysłać dane na serwer, aby zobaczyć, jak zareaguje.
Dlaczego to może być niebezpieczne dla aplikacji
Załóżmy, że haker odwiedza witrynę zakupów online i dodaje produkt do swojego wirtualnego koszyka. Twórca aplikacji internetowych, który zbudował koszyk, mógł zakodować koszyk, aby zaakceptować wartość od użytkownika takiego jak Ilość = "1" i ograniczył element interfejsu użytkownika do rozwijanego okna zawierającego wcześniej wybrane selekcje dla ilości.
Haker może podjąć próbę użycia danych sabotażu w celu ominięcia ograniczeń w rozwijanym polu, które pozwala użytkownikom wybierać tylko z zestawu wartości, takich jak 1, 2, 3, 4 i 5. Przy użyciu sabotażu danych haker może spróbować wprowadzić inną wartość powiedz "-1" lub "0.000001".
Jeśli programista nie zakodował prawidłowo swojej procedury sprawdzania poprawności danych wejściowych, wówczas wartość "-1" lub ".000001" może ewentualnie zostać przekazana do formuły używanej do obliczenia kosztu przedmiotu (np. Cena x ilość). Może to spowodować nieoczekiwane wyniki w zależności od tego, jak dużo kontroli błędów i ile zaufania deweloper ma w danych pochodzących od strony klienta. Jeśli koszyk jest źle zakodowany, haker może w końcu uzyskać niezamierzony ogromny rabat, zwrot pieniędzy za produkt, którego nawet nie kupił, kredyt w sklepie lub kto wie, co jeszcze.
Możliwości niewłaściwego korzystania z aplikacji internetowej przy użyciu danych sabotażu są nieograniczone. Gdybym był programistą, wiedziałbym, że istnieją narzędzia takie jak Tamper Data, które utrzymywałyby mnie w nocy.
Z drugiej strony, Tamper Data jest doskonałym narzędziem dla programistów aplikacji dbających o bezpieczeństwo, tak aby mogli zobaczyć, jak ich aplikacje reagują na ataki manipulacyjne po stronie klienta.
Programiści często tworzą "Przypadki użycia", aby skupić się na tym, w jaki sposób użytkownik wykorzysta oprogramowanie do osiągnięcia celu. Niestety, często ignorują czynnik złego faceta. Twórcy aplikacji muszą założyć swoje kapelusze przeciwników i tworzyć "Przypadki niewłaściwego użycia" w celu uwzględnienia hakerów za pomocą narzędzi takich jak Tamper Data.
Sabotaż danych powinien być częścią ich arsenału bezpieczeństwa, aby zapewnić, że dane wejściowe po stronie klienta są sprawdzane i weryfikowane, zanim będzie można wpływać na transakcje i procesy po stronie serwera. Jeśli deweloperzy nie biorą aktywnej roli w korzystaniu z takich narzędzi, jak Tamper Data, aby zobaczyć, w jaki sposób ich aplikacje reagują na ataki, nie będą wiedzieli, czego się spodziewać i mogą w końcu zapłacić rachunek za 60-calowy telewizor plazmowy, który właśnie kupił haker za 99 centów za pomocą wadliwego koszyka na zakupy.
