Разработчики веб-приложений часто полагают, что большинство пользователей будут следовать правилам и использовать приложение, поскольку оно предназначено для использования, но как насчет того, когда пользователь (или хакер) изгибает правила? Что делать, если пользователь пропускает фантастический веб-интерфейс и начинает беспорядочно обходить его под капотом без ограничений, наложенных браузером?
Что такое Firefox?
Firefox является браузером выбора для большинства хакеров из-за его плавного ввода дизайна. Одним из наиболее популярных хакерских инструментов для Firefox является надстройка под названием Tamper Data. Данные Tamper не являются сложным инструментом, это просто прокси-сервер, который вставляет себя между пользователем и веб-сайтом или веб-приложением, которое они просматривают.
Tamper Data позволяет хакеру отклеивать занавеску, чтобы просмотреть и испортить всю «магию» HTTP, происходящую за кулисами. Все эти GET и POST можно манипулировать без ограничений, наложенных пользовательским интерфейсом в браузере.
Что понравится?
Так почему так хакеров, таких как Tamper Data, и почему разработчикам веб-приложений нужно это делать? Основная причина заключается в том, что он позволяет человеку манипулировать данными, отправляемыми туда и обратно между клиентом и сервером (отсюда и имя Tamper Data). Когда Tamper Data запускается, и в Firefox запускается веб-приложение или веб-сайт, Tamper Data отображает все поля, которые позволяют вводить или манипулировать пользователем. Затем хакер может изменить поле на «альтернативное значение» и отправить данные на сервер, чтобы увидеть, как он реагирует.
Почему это может быть опасным для применения
Скажем, хакер посещает интернет-магазин и добавляет товар в свою виртуальную корзину покупок. Разработчик веб-приложений, который создал корзину покупок, может закодировать корзину, чтобы принять значение от пользователя, например Количество = "1" и ограничил элемент пользовательского интерфейса в раскрывающемся списке, содержащем предопределенные выборы для количества.
Хакер может попытаться использовать данные Tamper, чтобы обойти ограничения раскрывающегося списка, которые позволяют пользователям выбирать только набор значений, таких как 1, 2, 3, 4 и 5. Используя данные Tamper, хакер может попробовать для ввода другого значения «-1» или, возможно, «.000001».
Если разработчик неправильно закодировал свою процедуру проверки ввода, то это значение «-1» или «.000001» может быть передано в формулу, используемую для вычисления стоимости элемента (например, цена x Количество). Это может вызвать некоторые неожиданные результаты в зависимости от того, насколько ведется проверка ошибок и насколько доверяет разработчику данные, поступающие с клиентской стороны. Если корзина для покупок плохо закодирована, тогда хакер может получить возможную непреднамеренную огромную скидку, возмещение на продукт, который они даже не покупали, кредит в магазине или кто знает, что еще.
Возможности неправильного использования веб-приложения с использованием данных Tamper бесконечны. Если бы я был разработчиком программного обеспечения, просто зная, что есть такие инструменты, как Tamper Data, меня будет держать ночью.
С другой стороны, Tamper Data - отличный инструмент для разработчиков приложений, ориентированных на безопасность, чтобы они могли видеть, как их приложения реагируют на атаки на стороне клиента.
Разработчики часто создают «Случаи использования», чтобы сосредоточиться на том, как пользователь будет использовать программное обеспечение для достижения цели. К сожалению, они часто игнорируют фактор плохого парня. Разработчики приложений должны надеть свои плохие шляпы и создать «Случаи неправильного использования», чтобы учитывать хакеров, использующих такие инструменты, как Tamper Data.
Данные Tamper должны быть частью их арсенала тестирования безопасности, чтобы гарантировать, что вход на стороне клиента проверен и проверен, прежде чем он сможет влиять на транзакции и процессы на стороне сервера. Если разработчики не будут играть активную роль в использовании таких инструментов, как Tamper Data, чтобы увидеть, как их приложения реагируют на атаку, тогда они не будут знать, чего ожидать, и могут в конечном итоге оплатить счет за 60-дюймовый плазменный телевизор, который только что купил хакер за 99 центов, используя их дефектную корзину покупок.
