Web應用程序開發人員經常相信,大多數用戶將遵循規則並使用應用程序,因為它是打算使用的,但用戶(或黑客 )何時彎曲規則又怎麼樣? 如果用戶跳過花哨的Web界面,並在沒有瀏覽器限制的情況下開始在引擎蓋下亂搞,該怎麼辦?
什麼關於Firefox?
由於插件友好的設計,Firefox是大多數黑客選擇的瀏覽器。 更流行的Firefox黑客工具之一是一個名為Tamper Data的附加組件。 防篡改數據不是一個超級複雜的工具,它只是一個代理 ,將自身插入用戶和他們正在瀏覽的網站或Web應用程序之間。
篡改數據允許黑客剝開窗簾來查看和混淆幕後發生的所有HTTP“魔術”。 所有這些GET和POST都可以在沒有瀏覽器中顯示的用戶界面強加的限制的情況下進行操作。
什麼是喜歡的?
那麼,黑客為什麼非常喜歡Tamper Data,為什麼Web應用程序開發人員會關心它呢? 主要原因是它允許一個人篡改在客戶端和服務器之間來回發送的數據(因此名稱為Tamper Data)。 當Tamper Data啟動並且在Firefox中啟動Web應用程序或網站時,Tamper Data將顯示允許用戶輸入或操作的所有字段。 然後,黑客可以將字段更改為“備用值”並將數據發送到服務器以查看其反應情況。
為什麼這可能會危及應用程序
假設黑客正在訪問一個在線購物網站並向其虛擬購物車添加物品。 構建購物車的Web應用程序開發人員可能已將車編碼為接受來自用戶的值,例如Quantity =“1”,並將用戶界面元素限制為包含預定數量選擇的下拉框。
黑客可以嘗試使用防篡改數據來繞過下拉框的限制,只允許用戶從一組值中進行選擇,例如“1,2,3,4和5”。使用防篡改數據,黑客可以嘗試輸入不同的值,例如“-1”或者“.000001”。
如果開發者沒有正確地編寫他們的輸入驗證程序,那麼這個“-1”或“.000001”值可能最終傳遞到用來計算物品成本的公式(即價格x數量)。 這可能會導致一些意想不到的結果,具體取決於進行多少錯誤檢查以及開發人員對來自客戶端的數據有多少信任。 如果購物車編碼不好,那麼黑客最終可能會得到意想不到的巨大折扣,對他們甚至沒有購買的產品的退款,商店信用,或者誰知道還有什麼。
使用Tamper Data濫用Web應用程序的可能性是無止境的。 如果我是一名軟件開發人員,只要知道有像Tamper Data這樣的工具可以讓我在晚上繼續工作。
另一方面,Tamper Data是安全意識的應用程序開發人員使用的極好工具,因此他們可以看到他們的應用程序如何響應客戶端數據操作攻擊。
開發人員經常創建用例來關注用戶如何使用該軟件來實現目標。 不幸的是,他們經常忽視壞人因素。 應用程序開發人員需要戴上他們的壞人帽子,並使用諸如Tamper Data之類的工具來創建濫用案例來說明黑客的身份。
防篡改數據應該是其安全測試工具的一部分,以幫助確保客戶端輸入在被允許影響事務和服務器端過程之前進行驗證和驗證。 如果開發人員不積極使用Tamper Data等工具來查看他們的應用程序如何應對攻擊,那麼他們將不知道該期待什麼,最終可能會支付60英寸等離子電視的費用,而黑客只是使用有缺陷的購物車購買99美分。
有關Firefox的Tamper Data Add-on的更多信息,請訪問Tamper Data Firefox Add-on頁面。