Mae datblygwyr cais gwe yn aml yn ymddiried bod y rhan fwyaf o ddefnyddwyr yn mynd i ddilyn y rheolau a defnyddio cais fel y bwriedir ei ddefnyddio, ond pa bryd y mae'r defnyddiwr (neu haciwr ) yn troi'r rheolau? Beth os yw defnyddiwr yn sgipio'r rhyngwyneb gwe ffansi ac yn dechrau cwympo o dan y cwfl heb y cyfyngiadau a osodir gan y porwr?
Beth am Firefox?
Firefox yw'r porwr o ddewis ar gyfer y rhan fwyaf o hacwyr oherwydd ei ddyluniad cyfeillgar i gyd-fynd â hi. Un o'r offer haciwr mwyaf poblogaidd ar gyfer Firefox yw ychwanegiad o'r enw Tamper Data. Nid yw Tamper Data yn arf super cymhleth, dim ond dirprwy yw hi sy'n mewnosod ei hun rhwng y defnyddiwr a'r wefan neu'r cais gwe y maent yn pori.
Mae Data Tamper yn caniatáu i haciwr dorri'r llen i edrych yn ôl a llanast gyda phob un o'r "hud" HTTP sy'n digwydd y tu ôl i'r llenni. Gellir trin pob un o'r GETs a'r POST heb y cyfyngiadau a osodir gan y rhyngwyneb defnyddiwr a welir yn y porwr.
Beth a # 39; i Hoffi?
Felly pam mae hacwyr fel Data Tamper yn gymaint a pham y dylai datblygwyr cais gwe ofalu amdanynt? Y prif reswm yw ei fod yn caniatáu i berson ymyrryd â'r data sy'n cael ei anfon yn ôl ac ymlaen rhwng y cleient a'r gweinydd (felly yr enw Tamper Data). Pan ddechreuir Data Tamper a bydd app gwe neu wefan yn cael ei lansio yn Firefox, bydd Tamper Data yn dangos yr holl feysydd sy'n galluogi mewnbwn neu drin defnyddwyr. Gall haciwr wedyn newid maes i "werth arall" ac anfon y data i'r gweinydd i weld sut mae'n ymateb.
Pam y gallai hyn fod yn beryglus i gais
Dywedwch fod haciwr yn ymweld â safle siopa ar - lein ac yn ychwanegu eitem at eu cart siopa rhithwir. Efallai y bydd y datblygwr cais ar y we a gododd y cart siopa wedi codio'r cart i dderbyn gwerth gan y defnyddiwr fel Nifer = "1" a chyfyngu'r elfen rhyngwyneb defnyddiwr i mewn i flwch i lawr sy'n cynnwys dewisiadau a ragfynegwyd ar gyfer y swm.
Gallai haciwr geisio defnyddio Tamper Data i osgoi cyfyngiadau'r blwch i lawr sy'n caniatáu i ddefnyddwyr ddewis o set o werthoedd fel "1,2,3,4, a 5. Gan ddefnyddio Data Tamper, gallai'r haciwr ceisiwch nodi gwerth gwahanol o ddweud "-1" neu efallai ".000001".
Os nad yw'r datblygwr wedi cywiro eu trefn ddilysu mewnbwn yn gywir, yna efallai y byddai'r gwerth "-1" neu ".000001" hwn yn cael ei drosglwyddo i'r fformiwla a ddefnyddir i gyfrifo cost yr eitem (hy Pris x Nifer). Gallai hyn achosi rhai canlyniadau annisgwyl yn dibynnu ar faint o wirio gwallau sy'n digwydd a faint o ymddiriedaeth sydd gan y datblygwr yn y data sy'n dod o ochr y cleient. Os yw'r cartiau siopa wedi eu codau'n wael, yna gall yr haciwr gael gostyngiad anferthol anferth posibl, ad-daliad ar gynnyrch nad oeddent hyd yn oed yn ei brynu, credyd siop, neu pwy sy'n gwybod beth arall.
Mae'r posibiliadau o gamddefnyddio cais ar y we gan ddefnyddio Tamper Data yn ddiddiwedd. Pe bawn i'n ddatblygwr meddalwedd, dim ond gwybod bod yna offer fel Tamper Data allan byddai'n fy nghadw i fyny yn y nos.
Ar yr ochr fflip, mae Tamper Data yn offeryn ardderchog ar gyfer datblygwyr cais sy'n ymwybodol o ddiogelwch i'w defnyddio fel y gallant weld sut mae eu ceisiadau yn ymateb i ymosodiadau trin data ar ochr cleientiaid.
Mae datblygwyr yn aml yn creu Defnyddiau Achosion i ganolbwyntio ar sut y byddai defnyddiwr yn defnyddio'r meddalwedd i gyflawni nod. Yn anffodus, maent yn aml yn anwybyddu'r ffactor dyn drwg. Mae angen i ddatblygwyr App roi ar eu hetiau dynion drwg a chreu Achosion Camddefnyddio i gyfrif am hacwyr sy'n defnyddio offer megis Tamper Data.
Dylai Data Tamper fod yn rhan o'u arsenal profi diogelwch i helpu sicrhau bod mewnbwn ochr y cleient yn cael ei ddilysu a'i wirio cyn y bydd yn cael effaith ar drafodion a phrosesau ochr y gweinydd. Os na fydd datblygwyr yn cymryd rhan weithgar wrth ddefnyddio offer fel Tamper Data i weld sut mae eu ceisiadau yn ymateb i ymosodiad, yna ni fyddant yn gwybod beth i'w ddisgwyl a gallant ddisgwyl talu'r bil ar gyfer teledu plasma 60 modfedd y bydd yr haciwr yn ei wneud yn unig wedi prynu am 99 cents gan ddefnyddio eu cart siopa diffygiol.
Am ragor o wybodaeth ar y Tamper Data Add-on ar gyfer Firefox, ewch i dudalen Addasiad Tamper Data Firefox.