Web应用程序开发人员经常相信,大多数用户将遵循规则并使用应用程序,因为它是打算使用的,但用户(或黑客 )何时弯曲规则又怎么样? 如果用户跳过花哨的Web界面,并在没有浏览器限制的情况下开始在引擎盖下乱搞,该怎么办?
什么关于Firefox?
由于插件友好的设计,Firefox是大多数黑客选择的浏览器。 更流行的Firefox黑客工具之一是一个名为Tamper Data的附加组件。 防篡改数据不是一个超级复杂的工具,它只是一个代理 ,将自身插入用户和他们正在浏览的网站或Web应用程序之间。
篡改数据允许黑客剥开窗帘来查看和混淆幕后发生的所有HTTP“魔术”。 所有这些GET和POST都可以在没有浏览器中显示的用户界面强加的限制的情况下进行操作。
什么是喜欢的?
那么,黑客为什么非常喜欢Tamper Data,为什么Web应用程序开发人员会关心它呢? 主要原因是它允许一个人篡改在客户端和服务器之间来回发送的数据(因此名称为Tamper Data)。 当Tamper Data启动并且在Firefox中启动Web应用程序或网站时,Tamper Data将显示允许用户输入或操作的所有字段。 然后,黑客可以将字段更改为“备用值”并将数据发送到服务器以查看其反应情况。
为什么这可能会危及应用程序
假设黑客正在访问一个在线购物网站并向其虚拟购物车添加物品。 构建购物车的Web应用程序开发人员可能已将车编码为接受来自用户的值,例如Quantity =“1”,并将用户界面元素限制为包含预定数量选择的下拉框。
黑客可以尝试使用防篡改数据来绕过下拉框的限制,只允许用户从一组值中进行选择,例如“1,2,3,4和5”。使用防篡改数据,黑客可以尝试输入不同的值,例如“-1”或者“.000001”。
如果开发者没有正确地编写他们的输入验证程序,那么这个“-1”或“.000001”值可能最终传递到用来计算物品成本的公式(即价格x数量)。 这可能会导致一些意想不到的结果,具体取决于进行多少错误检查以及开发人员对来自客户端的数据有多少信任。 如果购物车编码不好,那么黑客最终可能会得到意想不到的巨大折扣,对他们甚至没有购买的产品的退款,商店信用,或者谁知道还有什么。
使用Tamper Data滥用Web应用程序的可能性是无止境的。 如果我是一名软件开发人员,只要知道有像Tamper Data这样的工具可以让我在晚上继续工作。
另一方面,Tamper Data是安全意识的应用程序开发人员使用的极好工具,因此他们可以看到他们的应用程序如何响应客户端数据操作攻击。
开发人员经常创建用例来关注用户如何使用该软件来实现目标。 不幸的是,他们经常忽视坏人因素。 应用程序开发人员需要戴上他们的坏人帽子,并使用诸如Tamper Data之类的工具来创建滥用案例来说明黑客的身份。
防篡改数据应该是其安全测试工具的一部分,以帮助确保客户端输入在被允许影响事务和服务器端过程之前进行验证和验证。 如果开发人员不积极使用Tamper Data等工具来查看他们的应用程序如何应对攻击,那么他们将不知道该期待什么,最终可能会支付60英寸等离子电视的费用,而黑客只是使用有缺陷的购物车购买99美分。
有关Firefox的Tamper Data Add-on的更多信息,请访问Tamper Data Firefox Add-on页面。