Veb-dastur ishlab chiquvchilari odatda ko'pchilik foydalanuvchilar qoidalarga rioya qilmoqdalar va ulardan foydalanish uchun mo'ljallangan dasturdan foydalanadilar, ammo foydalanuvchi (yoki hacker ) qoidalarni qanday taqiqlash haqida qanday fikrdasiz? Agar foydalanuvchi brauzer tomonidan qo'yiladigan cheklashlarsiz xushbichimdagi veb-interfeysni atlamasa va sarlavhasi ostida ishlamasa?
Firefox haqida nima deyish mumkin?
Firefox ko'pchilik hackerlar uchun tanlov brauzeri bo'lib, uning plug-ning do'stona dizayni tufayli. Firefox uchun mashhur bo'lgan hacker vositalaridan biri Tamper Data deb ataluvchi qo'shimchadir. Tamper Data - bu juda murakkab vosita emas, balki foydalanuvchi va ular ko'rib turgan veb-sayt yoki veb-ilovalar orasida o'zini ko'rsatadigan proksi-server .
Tamper Data hacker pardani orqaga tortib, sahnalar ortida sodir bo'lgan HTTP "sehrli" narsalarni ko'rish va aralashtirishga imkon beradi. Barcha bu GETlar va Postlar brauzerda ko'rilgan foydalanuvchi interfeysi tomonidan kiritilgan cheklovlarsiz ishlov berilishi mumkin.
Yoqtirish uchun nima?
Xo'sh, nima uchun Tamper Data kabi hackerlar bunday qilishadi va nima uchun veb-dastur ishlab chiquvchilari bu haqda g'amxo'rlik qilishlari kerak? Buning asosiy sababi, mijozga va serverga (ya'ni, Tamper Data nomi) oldinga va orqaga yuborilgan ma'lumotlar bilan ishlashga imkon beradi. Tamper Data ishga tushirilganda va veb-ilovasi yoki veb-sayti Firefox-da ishga tushirilsa, Tamper Data foydalanuvchi kiritish yoki manipulyatsiyaga ruxsat beruvchi barcha maydonlarni ko'rsatadi. Xaker keyin maydonni "muqobil qiymat" ga o'zgartirishi va ma'lumotlarni reaksiyaga kirishini ko'rish uchun serverga yuborishi mumkin.
Nima uchun bu dastur uchun xavfli bo'lishi mumkin
Hacker onlayn xarid qilish saytiga tashrif buyurib, virtual xarid qilish savatiga biror narsa qo'shib qo'ying. Xarid qilish vositasini qurgan veb-ilovani ishlab chiquvchi, foydalanuvchi tomonidan Quantity = "1" kabi qiymatni qabul qilish uchun kartani kodlashi mumkin va foydalanuvchi interfeysi elementini miqdori uchun oldindan belgilangan tanlovlarni o'z ichiga olgan ochilgan qutiga cheklashi mumkin.
Hacker "Tamper Data" dan foydalanib, foydalanuvchilarga faqat 1,2,3,4 va 5. "Tamper Data" dan foydalangan holda bir qator qiymatlarni tanlash imkonini beradigan ochiladigan qutining cheklanishlarini chetlab o'tishga urinishi mumkin. "-1" yoki ".000001" so'zining boshqa qiymatini kiritishga harakat qiling.
Agar ishlab chiquvchi o'zlarining kirishni tekshirish tartibini to'g'ri kodlamagan bo'lsa, bu "-1" yoki ".000001" qiymati mahsulotning narxini hisoblash uchun ishlatiladigan formulaga (masalan, narx x Miqdori) o'tishga olib kelishi mumkin. Bu xato tekshiruvi qanday davom etayotganiga va mijozlar tomonidan olingan ma'lumotlarda ishlab chiqaruvchiga qanchalik ishonch borligiga qarab kutilmagan natijalarga olib kelishi mumkin. Xarid qilish vositasi yomon kodlangan bo'lsa, u holda hacker mumkin bo'lmagan katta chegirmalarni olishni, hatto sotib olmagan mahsulotni qaytarib olishni, do'kon kreditini yoki boshqa narsalarni kim biladi.
Tamper Data yordamida veb-ilovalarni noto'g'ri ishlatish imkoniyatlari cheksizdir. Agar dasturiy ta'minot ishlab chiqaruvchisi bo'lsam, Tamper Data kabi asboblar borligini bilib olsam, kechasi meni ushlab turadi.
Shaffof tomonda, Tamper Data xavfsizlik dasturlarini ishlab chiquvchilar uchun o'zlarining dasturlari mijozlarning ma'lumotlar manipulyatsiyasi hujumlariga qanday javob berishini ko'rish uchun ajoyib vosita.
Ishlab chiquvchilar odatda foydalanuvchini maqsadga erishish uchun dasturiy ta'minotdan qanday foydalanishi haqida o'ylash uchun Foydalanish shartlarini yaratadi. Afsuski, ular yomon odam omiliga ko'pincha e'tibor bermaydilar. Ilovani ishlab chiquvchilar o'zlarining yomon bosh kiyimlarini qo'yishlari va Taqper Data kabi vositalar yordamida xakerlarni hisoblash uchun noto'g'ri Kassalarni yaratishi kerak.
Tamper Data mijozlar tomonidan kiritilgan ma'lumotlarning tranzaktsiyalarga va server tomonidagi jarayonlarga ta'sir ko'rsatishiga yo'l qo'ymasdan oldin tekshirilishi va tasdiqlanishiga yordam berish uchun xavfsizlikni tekshirish arsenalining bir qismi bo'lishi kerak. Ishlab chiquvchilar o'zlarining ilovalari hujumga qanday javob berishlarini ko'rish uchun Tamper Data kabi vositalarni ishlatishda faol rol o'ynamasa, ular 60 dyuymli plazma televizor uchun hisob-kitoblarni to'lash nimaligini bilishmaydi va hacker faqat 99 santimetrga sotib olib, o'zlarining noqulay xarid qilish vositalarini sotib oldilar.
Firefox uchun Tamper Data qo'shish-haqida qo'shimcha ma'lumot olish uchun Tamper Data Firefox Add-Page sahifasiga tashrif buyuring.