Các nhà phát triển ứng dụng web thường tin tưởng rằng hầu hết người dùng sẽ tuân thủ các quy tắc và sử dụng một ứng dụng vì nó được sử dụng, nhưng làm thế nào khi người dùng (hoặc một hacker ) bẻ cong các quy tắc? Điều gì sẽ xảy ra nếu người dùng bỏ qua giao diện web ưa thích và bắt đầu rối tung xung quanh dưới mui xe mà không có các ràng buộc do trình duyệt áp đặt?
Còn Firefox thì sao?
Firefox là trình duyệt được lựa chọn cho hầu hết các tin tặc vì thiết kế thân thiện với trình cắm thêm của nó. Một trong những công cụ hacker phổ biến hơn cho Firefox là một add-on có tên là Tamper Data. Tamper Data không phải là một công cụ siêu phức tạp, nó chỉ là một proxy tự chèn vào giữa người dùng và trang web hoặc ứng dụng web mà họ đang duyệt.
Tamper Data cho phép một hacker lột vỏ màn hình để xem và gây rối với tất cả các "phép thuật" HTTP diễn ra sau hậu trường. Tất cả những GET và POST có thể được điều khiển mà không có các ràng buộc do giao diện người dùng nhìn thấy trong trình duyệt.
Thích gì?
Vậy tại sao các tin tặc như Tamper Data lại rất nhiều và tại sao các nhà phát triển ứng dụng web phải quan tâm đến nó? Lý do chính là nó cho phép một người giả mạo dữ liệu được gửi qua lại giữa máy khách và máy chủ (do đó có tên là Tamper Data). Khi dữ liệu Tamper được bắt đầu và một ứng dụng web hoặc trang web được khởi chạy trong Firefox, Tamper Data sẽ hiển thị tất cả các trường cho phép người dùng nhập hoặc thao tác. Một hacker sau đó có thể thay đổi một trường thành "giá trị thay thế" và gửi dữ liệu đến máy chủ để xem nó phản ứng như thế nào.
Tại sao điều này có thể gây nguy hiểm cho một ứng dụng
Giả sử một hacker đang truy cập trang web mua sắm trực tuyến và thêm một mặt hàng vào giỏ hàng ảo của họ. Nhà phát triển ứng dụng web đã tạo giỏ hàng có thể đã mã hóa giỏ hàng để chấp nhận giá trị từ người dùng như Số lượng = "1" và hạn chế phần tử giao diện người dùng vào hộp thả xuống chứa các lựa chọn được xác định trước cho số lượng.
Một hacker có thể cố gắng sử dụng Tamper Data để bỏ qua các hạn chế của hộp thả xuống mà chỉ cho phép người dùng chọn từ một tập hợp các giá trị như "1,2,3,4 và 5. Sử dụng Tamper Data, hacker có thể cố gắng nhập một giá trị khác nhau nói "-1" hoặc có lẽ "0,000001".
Nếu nhà phát triển không mã hóa chính xác quy trình nhập xác thực, thì giá trị "-1" hoặc ".000001" này có thể kết thúc bằng công thức được sử dụng để tính chi phí của mặt hàng (ví dụ: Giá x Số lượng). Điều này có thể gây ra một số kết quả không mong muốn tùy thuộc vào số lượng kiểm tra lỗi đang diễn ra và mức độ tin cậy mà nhà phát triển có trong dữ liệu đến từ phía máy khách. Nếu giỏ hàng bị mã hóa kém, thì hacker có thể sẽ nhận được một khoản chiết khấu khổng lồ không thể lường trước được, khoản tiền hoàn lại cho một sản phẩm mà họ thậm chí không mua, tín dụng của cửa hàng hoặc ai biết điều gì khác.
Khả năng lạm dụng một ứng dụng web bằng cách sử dụng Tamper Data là vô tận. Nếu tôi là một nhà phát triển phần mềm, chỉ cần biết rằng có những công cụ như Tamper Dữ liệu ra có sẽ giữ cho tôi vào ban đêm.
Mặt khác, Tamper Data là một công cụ tuyệt vời để các nhà phát triển ứng dụng có ý thức bảo mật sử dụng để họ có thể xem ứng dụng của họ phản ứng như thế nào với các cuộc tấn công thao tác dữ liệu phía máy khách.
Các nhà phát triển thường tạo ra các trường hợp sử dụng để tập trung vào cách người dùng sẽ sử dụng phần mềm để hoàn thành mục tiêu. Thật không may, họ thường bỏ qua yếu tố người xấu. Các nhà phát triển ứng dụng cần phải đưa vào đội mũ xấu của họ và tạo các trường hợp lạm dụng để giải thích cho các tin tặc sử dụng các công cụ như Tamper Data.
Dữ liệu Tamper phải là một phần của kho kiểm thử bảo mật của chúng để giúp đảm bảo rằng đầu vào phía máy khách được xác thực và xác minh trước khi nó được phép ảnh hưởng đến các giao dịch và các quy trình phía máy chủ. Nếu các nhà phát triển không đóng vai trò tích cực trong việc sử dụng các công cụ như Tamper Data để xem ứng dụng của họ phản ứng như thế nào, thì họ sẽ không biết điều gì sẽ xảy ra và có thể sẽ trả tiền cho TV plasma 60 inch mà hacker đã mua 99 xu bằng giỏ hàng bị lỗi.
Để biết thêm thông tin về Tiện ích bổ sung dữ liệu Tamper cho Firefox, hãy truy cập Trang bổ trợ của Tamper Data Firefox.