Pagdala sa Data: Ang Firefox Add-on

Ang mga tig- gamit sa web application sa kasagaran nagsalig nga ang kadaghanan sa mga tiggamit mosunod sa mga lagda ug mogamit sa usa ka aplikasyon ingon nga kini gituyo nga gamiton, apan unsaon sa diha nga ang tiggamit (o ang usa ka hacker ) molusad sa mga lagda? Unsa kaha kon ang usa ka user mo-skips sa nindot nga web interface ug magsugod sa pag-messing sa ilalum sa hood nga walay mga limitasyon nga ipatuman sa browser?

Unsa ang Bahin sa Firefox?

Ang Firefox mao ang browser sa pagpili alang sa kadaghanan sa mga hacker tungod sa iyang plug-in friendly nga disenyo. Usa sa mas popular nga mga himan sa hacker alang sa Firefox mao ang usa ka add-on nga gitawag nga Tamper Data. Ang Tamper Data dili usa ka sobrang komplikado nga himan, kini usa lamang ka proxy nga magsulod sa kaugalingon sulod sa taliwala sa user ug sa website o web application nga kini nag-browse.

Ang Tamper Data nagtugot sa usa ka hacker nga ibalik ang kurtina aron makita ug gubot ang tanan nga "magic" nga HTTP nga nagpahigayon sa mga eksena. Ang tanan nga mga GET ug POST mahimong maimpluwensyahan nga walay mga limitasyon nga gipahamtang sa user interface nga makita sa browser.

Unsa ang Gusto?

Busa nganong ang mga hacker sama sa Tamper Data pag-ayo ug nganong ang mga developers sa web application nag-atiman niini? Ang pangunang katarungan mao nga kini nagtugot sa usa ka tawo sa pagpanghilabot sa datos nga gipadala balik-balik sa taliwala sa kliyente ug sa server (busa ang ngalan nga Tamper Data). Sa diha nga ang Tamper Data nagsugod ug usa ka web app o website gilunsad sa Firefox, ang Tamper Data magpakita sa tanan nga mga luna nga nagtugot sa user input o manipulasyon. Dayon ang usa ka hacker makausab sa usa ka luna ngadto sa usa ka "alternate value" ug ipadala ang data ngadto sa server aron makita kung unsa kini nga reaksyon.

Kon Nganong Kini Mahimong Makadaot sa Usa ka Paggamit

Ingna ang usa ka hacker nga nagbisita sa usa ka online shopping site ug nagdugang usa ka butang sa ilang virtual nga shopping cart. Ang web application developer kinsa nagtukod sa shopping cart tingali naka-code sa cart nga dawaton ang usa ka bili gikan sa user sama sa Quantity = "1" ug gipugngan ang user interface nga elemento sa usa ka drop-down box nga adunay mga gitino nga mga pagpili alang sa gidaghanon.

Ang usa ka hacker mosulay sa paggamit sa Tamper Data aron malikayan ang mga pagdili sa drop-down box nga nagtugot lamang sa mga tiggamit sa pagpili gikan sa usa ka hugpong sa mga hiyas sama sa "1,2,3,4, ug 5. Paggamit sa Tamper Data, ang hacker mahimo sulayi nga mosulod sa usa ka lainlaing bili sa pag-ingon "-1" o tingali ".000001".

Kung ang tagdumala wala ma-kod sa hustong paagi sa ilang pag-balido nga rutina sa pag-input, nan kini nga "-1" o ".000001" nga kantidad posible nga mapasa ngadto sa pormula nga gigamit sa pagkalkulo sa kantidad sa butang (ie Price x Quantity). Mahimo kini nga hinungdan sa pipila nga wala damha nga mga resulta depende kung unsa kadaghan ang pagsusi sa kasaypanan nga nagpadayon ug unsa ka dako ang pagsalig sa developer sa datos gikan sa kliyente. Kon ang kariton sa shopping dili maayo nga coded, nan ang hacker mahimong makabaton og usa ka posible nga wala'y gipaabot nga dako nga diskwento, bayad sa usa ka produkto nga wala gani nila gipalit, credit store, o nahibal-an kung unsa pa.

Ang mga posibilidad sa sayup nga paggamit sa usa ka web application gamit ang Tamper Data walay katapusan. Kon ako usa ka software developer, nahibal-an lang nga adunay mga himan sama sa Tamper Data gikan didto nga mopugong kanako sa gabii.

Diha sa flip-side, ang Tamper Data usa ka labing maayo nga himan alang sa mga developers sa paggamit sa seguridad aron gamiton aron makita nila kon giunsa pagtubag sa ilang mga aplikasyon sa pag-atake sa data sa pag-manipis sa kliyente.

Ang mga tig-develop sa kasagaran maghimo sa paggamit sa mga Kaso aron sa pag-focus kung giunsa gamiton sa usa ka user ang software aron matuman ang usa ka tumong. Ikasubo, kanunay nilang gibalewala ang dili maayo nga hinungdan sa tawo. Ang mga nag-develop sa aplikante kinahanglan nga magsul-ob sa ilang dili maayo nga mga kalo sa lalaki ug maghimo og mga Misuse Cases aron isipon ang mga hacker gamit ang mga himan sama sa Tamper Data.

Ang Tamper Data kinahanglan nga bahin sa ilang security testing arsenal aron pagtabang nga maseguro nga ang input sa client-side gi validate ug gipamatud-an sa wala pa kini tugutan nga makaapekto sa mga transaksyon ug mga proseso sa server-side. Kung ang mga developers dili aktibo nga gigamit sa paggamit sa mga himan sama sa Tamper Data aron masuta kon unsaon pagtubag sa ilang mga aplikasyon sa pag-atake, unya dili nila mahibal-an kung unsa ang madahom ug mahimo na nga magbayad sa bill alang sa 60-inch plasma TV nga ang hacker lang gipalit alang sa 99 sentimo gamit ang ilang depektadong kariton sa pamalit.

Alang sa dugang kasayuran sa Tamper Data Add-on alang sa Firefox pagbisita sa Tamper Data Firefox Add-on Page.