Programeri za web aplikacije često vjeruju da će većina korisnika slijediti pravila i upotrebljavati aplikaciju kao što je namijenjena upotrebi, ali kako o tome kada korisnik (ili haker) savijanja pravila? Što ako korisnik preskoči fancy web sučelje i počne se zabavljati ispod nape bez ograničenja koje nameće preglednik?
Što je s Firefoxom?
Firefox je preglednik koji je izbor za većinu hakera zbog svojeg dodatka prijateljskog dizajna. Jedan od popularnijih hakerskih alata za Firefox je dodatak pod nazivom Tamper Data. Nadzor podataka nije super kompliciran alat, već samo proxy koji se umetne među korisnike i web stranicu ili web aplikaciju koju pregledavaju.
Tamper Data omogućuje hakeru da ukloni zavjesu kako bi vidjeli i zabrljali sve HTTP "magije" koje se događaju iza scene. Svi ti GET i POST mogu se manipulirati bez ograničenja koje nameće korisničko sučelje koje se vidi u pregledniku.
Što je to?
Pa zašto hakeri vole Tamper Data toliko i zašto bi programeri web aplikacija trebali brinuti o tome? Glavni razlog je taj što korisniku dopušta manipulaciju podataka koji se šalju natrag i naprijed između klijenta i poslužitelja (stoga naziv Tamper Data). Kada se pokrene Tamper Data i pokrenuta web-aplikacija ili web-lokacija u Firefoxu, podaci Tamper će prikazati sva polja koja omogućuju ulaz ili manipulaciju korisnika. Haker može promijeniti polje na "alternativnu vrijednost" i poslati podatke poslužitelju da vidi kako reagira.
Zašto bi to moglo biti opasno za prijavu
Recimo da haker posjećuje web mjesto za kupnju i dodaje stavku u svoju virtualnu košaricu za kupnju. Razvojni programer web aplikacija koji je izgradio košaru za kupnju možda je kodiran košaricu kako bi prihvatio vrijednost korisnika, kao što je Količina = "1" i ograničio element korisničkog sučelja na padajuću kućicu koja sadrži unaprijed određene odabire za količinu.
Haker bi mogao pokušati upotrijebiti podatke Tamper za zaobilaženje ograničenja padajućeg okvira koji samo korisnicima omogućuje odabir iz skupova vrijednosti kao što su 1, 2, 3, 4 i 5. Korištenje podataka Tamper, haker bi mogao probati da unesete drugu vrijednost reći "-1" ili možda ".000001".
Ako programer nije ispravno kodovao svoju rutinu provjere valjanosti unosa, tada bi ova vrijednost "-1" ili ".000001" mogla završiti prosljeđivanjem na formulu kojom se izračunava trošak stavke (npr., Cijena x Količina). To bi moglo prouzročiti neke neočekivane rezultate ovisno o tome koliko se provjera pogrešaka događa i koliko povjerenje razvojnog programera ima u podacima s klijentske strane. Ako je košarica loše kodirana, haker može završiti s mogućim nenamjernim ogromnim popustom, povratom novca na proizvod koji nisu ni kupili, prodajnom saldu ili tko zna što drugo.
Mogućnosti zlouporabe web aplikacije pomoću Tamper podataka su beskrajne. Da sam softver razvijen od strane softvera, samo znajući da postoje alati kao što su Tamper podataka vani bi me držali pod noći.
Na obrubu, podaci Tamper podataka izvrstan su alat za razvojno programere aplikacija za sigurnost kako bi mogli vidjeti kako njihovi programi reagiraju na napade prilikom manipulacije podacima na strani klijenta.
Programeri često stvaraju "Use Cases" kako bi se usredotočili na to kako će korisnik koristiti softver kako bi ostvario cilj. Na žalost, često ignoriraju faktora lošeg tipa. Programeri aplikacija trebaju staviti šešire njihovog lošeg čovjeka i stvoriti "slučajeve zloupotrebe" na račun hakera pomoću alata kao što su podaci Tamper.
Nadzor podataka trebaju biti dio njihovog arsenala sigurnosnog testiranja kako bi se osiguralo provjera valjanosti i potvrđivanja unosa na strani klijenta prije nego što mu dopušta utjecaj na transakcije i na procese na strani poslužitelja. Ako razvojni programeri ne preuzmu aktivnu ulogu u korištenju alata kao što su Tamper Data kako bi vidjeli kako njihovi programi reagiraju na napad, tada neće znati što očekivati i mogli bi platiti račun za 60-inčni plazma TV koju je haker upravo kupio za 99 centi koristeći svoju neispravnu košaricu za kupnju.
