वेब अनुप्रयोग डेव्हलपर्स सहसा विश्वास करतात की बहुतांश वापरकर्ते नियमांचे पालन करणार आहेत आणि वापरण्याचा उद्देश असलेल्या एखाद्या अनुप्रयोगास वापरत आहेत, परंतु जेव्हा वापरकर्ता (किंवा हॅकर ) नियमांना झुकतात तेव्हा काय करावे? वापरकर्त्याने फॅन्सी वेब इंटरफेस वगळल्यास आणि ब्राउझरद्वारे लागू केलेल्या मर्यादांशिवाय प्रवाहाच्या भोवताली गोंधळ सुरू करता?
Firefox बद्दल काय?
फायरफॉक्स बहुतेक हॅकरसाठी प्लग-इन फ्रेंडली डिज़ाइनमुळे पसंतीचा ब्राउझर आहे Firefox साठी अधिक लोकप्रिय हॅकर साधनांपैकी एक म्हणजे ऍम्प-ऑन, टेम्पर डेटा. टेंपर डेटा हा एक अति क्लिष्ट साधन नाही, तो केवळ प्रॉक्सी आहे जो वापरकर्ता आणि वेबसाइट किंवा वेब अनुप्रयोग ज्यामध्ये ते ब्राउझ करत आहेत त्यामध्ये स्वतःच अंतर्भूत करते.
छेडछाड डेटा हॅकरला पडदा मागे सोडण्याची अनुमती देते आणि दृश्यांच्या मागे असलेल्या "HTTP" च्या सर्व "व्हायड" या छिद्रेसह आणि गोंधळ करते. त्या सर्व GET आणि POST ब्राउझरमध्ये दिसणारे वापरकर्ता इंटरफेसने लागू केलेल्या मर्यादांशिवाय फेरफार करता येतील.
काय आवडते?
मग हे हॅमर सारख्या डेटा सारख्या का असतात आणि वेब अनुप्रयोग विकसकांनी याबद्दल काळजी का केली पाहिजे? याचे प्रमुख कारण म्हणजे एखाद्या व्यक्तीला क्लायंट आणि सर्व्हर (त्यामुळे Tamper डेटा नाव) मागे आणि पुढे पाठविले जात डेटा छेडणे परवानगी देते. जेव्हा Tamper डेटा प्रारंभ केला जातो आणि फायरफॉक्समध्ये वेब अॅप किंवा वेबसाइट लाँच केली जाते, तेव्हा Tamper Data सर्व फील्ड दर्शवेल जे वापरकर्त्यास इनपुट किंवा मॅनिपुलेशनची अनुमती देईल. हॅकर नंतर एखाद्या फील्डला "पर्यायी मूल्य" मध्ये बदलू शकतो आणि डेटाला सर्व्हरवर कसा प्रतिसाद दिला जातो ते पाठवू शकतो.
ही एखाद्या अनुप्रयोगासाठी धोकादायक का असू शकते?
म्हणू की एक हॅकर ऑनलाइन शॉपिंग साइटला भेट देत आहे आणि एक आयटम आपल्या आभासी शॉपिंग कार्टमध्ये जोडतो. शॉपिंग कार्ट बनवणार्या वेब ऍप्लिकेशन डेव्हलपरने कार्टला कोडित केले असेल ज्यामुळे ती संख्या = "1" प्रमाणे वापरकर्त्याकडून मूल्य स्वीकारेल आणि प्रमाणपत्रासाठी पूर्वनिश्चित निवडी असलेल्या ड्रॉप-डाउन बॉक्समध्ये यूजर इंटरफेस घटक प्रतिबंधित केला असेल.
एक हॅकर ड्रॉप-डाउन बॉक्सची मर्यादा टाळण्यासाठी ताळी डेटा वापरण्याचा प्रयत्न करू शकते जे वापरकर्त्यांना केवळ "1,2,3,4, आणि 5 सारख्या मूल्यांच्या संचातून निवडण्याची परवानगी देते". "-1" म्हणा किंवा ".000001" चे भिन्न मूल्य प्रविष्ट करण्याचा प्रयत्न करा.
जर विकसकाने आपले इनपुट मान्यता नियमानुसार योग्यरित्या कोड केलेले नाही, तर हे "-1" किंवा ".000001" मूल्य संभाव्यतया आयटमची किंमत (उदा. X x quantity) ची किंमत मोजण्यासाठी वापरल्या जाणार्या सूत्राला पुरवले जाऊ शकते. क्लायंटच्या बाजूने येणार्या डेटामध्ये डेव्हलपरवर किती विश्वास आहे यावर बर्याच त्रुटी आहेत आणि यामुळे किती अनपेक्षित परिणाम होऊ शकतात. शॉपिंग कार्ट खराबपणे कोडित झाल्यास, हॅकर शक्य अनपेक्षित प्रचंड सवलत मिळवू शकतील, एखादे उत्पाद विकत घेऊ शकत नाही किंवा स्टोअर क्रेडिट मिळू शकत नाही किंवा कोणास माहित आहे.
Tamper डेटा वापरून वेब अनुप्रयोगाचा गैरवापर होण्याची शक्यता अनन्य आहे. जर मी सॉफ्टवेअर डेव्हलपर असलो तर, फक्त तामर डेटा सारखी साधने उपलब्ध आहेत हे मला ठाऊक असतील तर रात्री मला उरेल.
फ्लिप-बाजूवर, Tamper Data हे सुरक्षा-जागृत अनुप्रयोग विकासकांसाठी एक उत्कृष्ट साधन आहे जेणेकरून ते हे पाहू शकतात की त्यांचे अनुप्रयोग क्लायंट-साइड डेटा हेरफेर हल्ल्यांना कसे प्रतिसाद देतात.
लक्ष्यीकरण साध्य करण्यासाठी वापरकर्त्याने सॉफ्टवेअर कसे वापरेल यावर लक्ष ठेवण्यासाठी विकसक अनेकदा वापराच्या प्रकरणात तयार करतात. दुर्दैवाने, ते बर्याचदा खराब व्यक्ति फॅक्टरकडे दुर्लक्ष करतात. अनुप्रयोग विकासकांना त्यांच्या खराब व्यक्तीच्या हॅट्सवर ठेवले पाहिजे आणि गैरवापराची प्रकरणे हॅमरच्या वापरासाठी जसे की टॅपर डेटा सारख्या साधनांचा वापर करणे आवश्यक आहे.
टेंपर डेटा त्यांच्या सुरक्षा चाचणी शस्त्राचा भाग असावा जेणेकरून व्यवहार आणि सर्व्हर-साइड प्रक्रिया प्रभावित होण्यास परवानगी देण्यापूर्वी क्लायंट-साइड इनपुट सत्यापित आणि सत्यापित होण्यात मदत होईल. जर डेव्हलपर्स टॅपर डेटा यासारख्या साधनांचा वापर करुन अॅप्लिकेशन्सचा वापर आक्रमणास कसा प्रतिसाद देतात हे त्यांना कळत नसेल, तर त्यांना काय अपेक्षित आहे आणि 60-इंच प्लाझ्मा टीव्हीसाठी बिल देण्यास काय हरकत असू शकते. त्यांच्या दोषपूर्ण शॉपिंग कार्ट वापरून 99 सेंट विकत घेतले.
फायरफॉक्सच्या अधिक माहितीसाठी Tamper डेटा ऍड-ऑन पहा Tamper Data Firefox Add-On Page