Web aplikazioen garatzaileek sarritan uste dute erabiltzaile gehienek arauak jarraitu behar dituztela eta aplikazio bat erabiltzeko asmoa dutela erabiltzea, baina nola (edo hacker batek ) arauak aldatzen dituenean? Zer gertatuko litzateke erabiltzaile batek fancy web interfazea saltzen badu eta arakatzailearen arabera inposatutako murriztapenik gabe barreiatzen hasiko da?
Zer da Firefox?
Firefox hacker gehienak aukeratutako arakatzailea da, bere plugin-friendly diseinuagatik. Hacker tresna ezagunenetako bat Tamper Data izeneko gehigarri bat da. Tamper Data ez da super konplexua den tresna, hau da, erabiltzaileak eta web orrialdeak arakatzen ari diren artean sartzen dituen proxy bakarra.
Tamper Data hackerrek gortina atzera zuritzeko aukera ematen die, ikusmena eta nahastea HTTP "magia" eszenikoen atzean. GET eta POST horiek guztiak arakatzailean ikusten diren interfaze-interfazeak ezarritako murriztapenik gabe manipulatu daitezke.
Zer da?
Beraz, zergatik Tamper Data bezalako hackerrak hainbeste eta zergatik web aplikazioen garatzaileek zaintzeko behar? Arrazoi nagusia da bezeroak bezeroaren eta zerbitzaritik bidaltzen dituen datuak tamperatzea (horregatik, Tamper Data izena). Tamper Data martxan dagoenean eta web aplikazioa edo webgunea Firefoxen abian jartzean, Tamper Data erabiltzaileak sarrera edo manipulazioa ahalbidetzen duten eremu guztiak erakutsiko ditu. Hacker batek "ordezko balioa" eremu bat alda dezake eta datuak zerbitzariari nola erreakzionatzen duen ikusteko aukera ematen du.
Zergatik da hori Aplikazio bati arriskutsua izatea
Esan hacker bat online erosketa gune bat bisitatzen eta elementu bat gehitzen bere birtuala erosketa saskia. Erosketa komertziala eraiki zuten web aplikazioko garatzaileek zorroa izan dute saskia erabiltzailearentzako balioa onartzeko, esate baterako, Quantity = "1" eta erabiltzailearen interfazeko elementua kantitatearen aurrez zehaztutako hautagaien goitibeherako kaxa mugatuta dago.
Hacker batek Tamper Data erabiltzea saihesten du goitibeherako koadroen murrizketen gainetik, erabiltzaileek "1, 2, 3, 4 eta 5" bitarteko balioen artean hautatzeko aukera ematen baitute. Tamper Data erabiliz, hacker Saiatu "-1" edo agian ".000001" esaten zaion beste balio bat sartzeko.
Garatzaileak ez badu behar bezala kodetutako sarrerako balidazio-errutina, orduan "-1" edo ".000001" balioa baliteke elementua (hau da, Prezioa x kantitatea) kalkulatzeko erabiltzen den formula gainditu behar izatea. Honek espero ez dituen emaitza batzuk sor ditzake, akatsen egiaztapena zenbat denboran gertatzen den eta zenbat garatzaileek konfiantzan bezeroaren aldetik datozen datuetan. Erosketa-saskia gaizki kodekatuta badago, hackerrak ahalik eta nahigabeko beherapen desbideratu bat lortzen badu, ez da erosketa bat erosi, denda-kreditu bat edo beste batek dakiena.
Tamper Data erabiliz web aplikazio baten erabilera okerra aukerak ez dira amaigabea. Softwarea garatzen ari nintzen, Tamper Data bezalako tresnak badituzu, gauez mantenduko nuke.
Tamaina aldetik, Tamper Data segurtasun-kontzienteak diren aplikazioen garatzaileentzako tresna bikaina da, beraz, euren aplikazioak bezeroaren aldeko datuen manipulazio erasoak erantzuten dien ikusteko aukera ematen du.
Garatzaileek sarritan sortu Erabilera kasuak erabiltzaileari softwarea nola erabili jakiteko helburua lortzeko. Zoritxarrez, txarra izatearen faktorea alde batera utzi ohi dute. Aplikazioen garatzaileek beren txarra txanoak jarri behar dituzte eta erabilera okerrak sortu behar dituzte hackerrak Tamper Data bezalako tresnak erabiliz.
Tamper Data segurtasun probak arsenalaren zati izan behar luke bezeroaren alboko sarrera baliozkotzea eta egiaztatzea bermatzeko, transakzioak eta zerbitzariaren prozesuak eragina izan dezaten. Garatzaileek ez dute parte hartzen Tamper Data bezalako tresnak erabiliz beren aplikazioak erasoari erantzuten dioten ikusteko, orduan ez dakite zer espero eta 60 metroko plasma-bidezko faktura ordaindu beharko luketen hackerrak 99 zentimo erosi zituzten beren erosketa-saski okerra erabiliz.
Tamper datuen gehigarriari buruzko informazio gehiago lortzeko, bisitatu Tamper Data Firefox gehigarriaren orria.