Pemaju aplikasi web sering mempercayai bahawa kebanyakan pengguna akan mematuhi peraturan dan menggunakan aplikasi kerana ia bertujuan untuk digunakan, tetapi bagaimana pula apabila pengguna (atau penggodam) membatalkan peraturan? Bagaimana jika pengguna melangkau antara muka web yang mewah dan mula mengacau di bawah hud tanpa kekangan yang dikenakan oleh penyemak imbas?
Apa Mengenai Firefox?
Firefox adalah pelayar pilihan untuk kebanyakan penggodam kerana reka bentuk mesra pemalamnya. Salah satu alat penggodam yang lebih popular untuk Firefox adalah add-on yang dipanggil Data Tamper. Data Tamper bukan alat super rumit, ia hanyalah proksi yang memasukkan sendiri antara pengguna dan laman web atau aplikasi web yang mereka melayari.
Data Tamper membolehkan penggodam mengupas tirai untuk melihat dan mengawal dengan semua "sihir" HTTP yang berlaku di belakang tabir. Semua GET dan POST boleh dimanipulasi tanpa kekangan yang dikenakan oleh antara muka pengguna yang dilihat dalam penyemak imbas.
Apa yang Disukai?
Jadi mengapa penggodam seperti Data Tamper begitu banyak dan mengapa pemaju aplikasi web perlu mengambil berat tentangnya? Sebab utama ialah ia membolehkan seseorang untuk menganggu data yang dihantar bolak antara klien dan pelayan (oleh itu nama Tamper Data). Apabila Data Tamper dimulakan dan aplikasi web atau laman web dilancarkan di Firefox, Data Tamper akan menunjukkan semua medan yang membolehkan input pengguna atau manipulasi. Seorang penggodam kemudian boleh menukar medan ke "nilai ganti" dan menghantar data ke pelayan untuk melihat bagaimana ia bertindak balas.
Mengapa Ini Mungkin Berbahaya kepada Permohonan
Katakan seorang penggodam sedang melawat laman membeli-belah dalam talian dan menambah item ke keranjang belanja maya mereka. Pemaju aplikasi web yang membina keranjang belanja mungkin telah mengodkan troli untuk menerima nilai dari pengguna seperti Kuantiti = "1" dan mengehadkan elemen antara muka pengguna ke kotak drop-down yang mengandungi pilihan yang telah ditetapkan untuk kuantiti.
Seorang penggodam boleh cuba menggunakan Data Tamper untuk memintas sekatan kotak drop-down yang hanya membenarkan pengguna memilih daripada satu set nilai seperti 1, 2, 3, 4, dan 5. Menggunakan Data Tamper, penggodam boleh mencuba untuk memasukkan nilai yang berbeza mengatakan "-1" atau mungkin ".000001".
Sekiranya pemaju tidak mengodkan rutin pengesahan input dengan betul, maka nilai "-1" atau ".000001" ini mungkin dapat diserahkan kepada formula yang digunakan untuk mengira kos item tersebut (cth. Harga x Kuantiti). Ini boleh menyebabkan beberapa keputusan yang tidak dijangka bergantung kepada berapa banyak pemeriksaan ralat berlaku dan berapa banyak kepercayaan pemaju dalam data yang datang dari pihak klien. Jika keranjang belanja tidak dikodkan dengan baik, maka penggodam mungkin akan mendapat diskon besar yang tidak diinginkan, pengembalian dana atas produk yang tidak mereka beli, kredit toko, atau siapa yang tahu apa lagi.
Kemungkinan penyalahgunaan aplikasi web menggunakan Data Tamper adalah tidak berkesudahan. Sekiranya saya seorang pemaju perisian, hanya mengetahui bahawa ada alat seperti Data Tamper di luar sana akan membuatkan saya bangun pada waktu malam.
Di sisi flip, Data Tamper adalah alat yang sangat baik untuk pemaju aplikasi pemahaman keselamatan untuk digunakan sehingga mereka dapat melihat bagaimana aplikasi mereka bertindak balas terhadap serangan manipulasi data sisi pelanggan.
Pemaju sering membuat "Use Cases" untuk memberi tumpuan kepada bagaimana pengguna akan menggunakan perisian untuk mencapai matlamat. Malangnya, mereka sering mengabaikan faktor lelaki yang buruk. Pemaju aplikasi perlu memakai topi lelaki yang buruk dan mencipta "Kesalahan Penyalahgunaan" untuk mengira penggodam menggunakan alat seperti Data Tamper.
Data Tamper harus menjadi sebahagian daripada arsenal ujian keselamatan mereka untuk membantu memastikan input sisi klien disahkan dan disahkan sebelum dibenarkan untuk mempengaruhi transaksi dan proses sisi server. Jika pemaju tidak mengambil peranan aktif dalam menggunakan alat seperti Data Tamper untuk melihat bagaimana aplikasi mereka bertindak balas terhadap serangan, maka mereka tidak akan tahu apa yang diharapkan dan akhirnya boleh membayar bil untuk 60 "TV Plasma yang telah dibeli oleh penggodam untuk 99 sen menggunakan keranjang belanja yang cacat mereka.
