Els desenvolupadors d' aplicacions web sovint confien que la majoria dels usuaris seguiran les regles i utilitzaran una aplicació ja que es pretén utilitzar, però, què passa quan l'usuari (o un pirata informàtic ) s'obliga les regles? Què passa si un usuari omet la fantàstica interfície web i comença a moure's sota el capó sense les restriccions imposades pel navegador?
Què passa amb Firefox?
Firefox és el navegador que trieu per a la majoria d'hackers a causa del seu disseny amigable. Una de les eines més populars per a hackers per a Firefox és un add-on anomenat Tamper Data. Tamper Data no és una eina super complicada, sinó només un proxy que s'introdueix entre l'usuari i el lloc web o l'aplicació web que estan navegant.
Tamper Data permet a un hacker retallar la cortina per veure i desfer-se de tota la "màgia" HTTP que té lloc darrere de les escenes. Tots aquests GETs i POSTs es poden manipular sense les restriccions imposades per la interfície d'usuari que es veu en el navegador.
Com és?
Llavors, per què els pirates informàtics com Tamper Data tant i per què els desenvolupadors d'aplicacions web es preocupen per això? El motiu principal és que permet a una persona manipular les dades que s'envien entre el client i el servidor (d'aquí el nom Tamper Data). Quan s'inicia Tamper Data i s'inicia una aplicació web o un lloc web a Firefox, Tamper Data mostrarà tots els camps que permetin l'entrada o la manipulació de l'usuari. Un hacker pot canviar un camp a un "valor alternatiu" i enviar les dades al servidor per veure com reacciona.
Per què això pot ser perillós per a una aplicació
Digueu que un hacker visita un lloc de compres en línia i afegeix un article al seu carretó electrònic de compres. El desenvolupador d'aplicacions web que va construir el carro de compra pot haver codificat el carro per acceptar un valor de l'usuari com Quantitat = "1" i restringir l'element de la interfície d'usuari a un quadre desplegable que contingui seleccions predeterminades per a la quantitat.
Un hacker podria intentar utilitzar Tamper Data per evitar les restriccions del quadre desplegable que només permeten als usuaris seleccionar d'un conjunt de valors com "1,2,3,4 i 5. Using Tamper Data", el hacker podria Intenta introduir un valor diferent de "-1" o potser ".000001".
Si el desenvolupador no ha codificat correctament la seva rutina de validació d'entrada, aquest valor "-1" o ".000001" podria acabar passant a la fórmula utilitzada per calcular el cost del producte (és a dir, Preu x Quantitat). Això podria causar resultats inesperats en funció de la quantitat de comprovació d'errors que s'està produint i la confiança que té el desenvolupador en les dades procedents del client. Si el carro de la compra no està ben codificat, pot ser que el hacker obtingui un possible descompte no desitjat, un reembossament en un producte que ni tan sols va comprar, un crèdit a la botiga o qui sap què més.
Les possibilitats d'utilitzar malament una aplicació web amb Tamper Data són infinites. Si jo fos un desenvolupador de programari, només sabent que hi ha eines com Tamper Data, allà fora, em mantindria a la nit.
Al costat del flip, Tamper Data és una excel·lent eina per als desenvolupadors d'aplicacions conscients de la seguretat per tal que puguin veure com les seves aplicacions responen als atacs de manipulació de dades del client.
Els desenvolupadors sovint creen casos d'ús per centrar-se en com un usuari utilitzaria el programari per aconseguir un objectiu. Desafortunadament, sovint ignoren el factor malament. Els desenvolupadors d'aplicacions han de posar els barrets de dolent i crear casos d'ús incorrecte per detectar hackers que utilitzen eines com Tamper Data.
Les dades de Tamper han de formar part de l'arsenal de proves de seguretat per garantir que l'entrada del client sigui validada i verificada abans que pugui afectar les transaccions i els processos del servidor. Si els desenvolupadors no tenen un paper actiu a l'hora d'utilitzar eines com Tamper Data per veure com les seves aplicacions responen a l'atac, no sabran què esperar i podrien acabar pagant la factura per a un televisor de plasma de 60 polzades que el hacker només va comprar per 99 centaus de dòlar amb el seu carret de compres defectuós.
Per obtenir més informació sobre el complement Tamper Data per a Firefox, visiteu la pàgina del complement Tamper Data Firefox.