वेब अनुप्रयोग विकासकहरू प्रायः विश्वास गर्छन् कि अधिकांश प्रयोगकर्ताहरूले नियमहरू पछ्याइरहेका छन् र अनुप्रयोग प्रयोग गर्नका लागि प्रयोग गरिरहन्छन्, तर कसरी प्रयोगकर्ता (वा हैकर ) नियमले खिचाउँछ? के यदि प्रयोगकर्ता फैंसी वेब इन्टरफेस छोड्दछ र ब्राउजर द्वारा लगाए गए बाधाहरु को बिना हुड को आसपास वरिपरि गंध लगाना शुरू गर्दछ?
फायरफक्सको बारेमा के?
फायरफक्स धेरै ह्याकरहरूका लागि छनौट ब्राउजर हो किनभने यसको प्लग-इन मैत्री डिजाइन। फायरफक्सको लागि थप लोकप्रिय हैकर उपकरणहरू मध्ये एक एड-अन टमाकर डाटा भनिन्छ। तामाङ डेटा एक जटिल जटिल उपकरण होइन, यो केवल एक प्रक्सी हो जसले प्रयोगकर्ता भित्र र वेबसाईट वा वेब अनुप्रयोग जो कि ब्राउज गर्दैछ।
छरितो डेटाले एक हैकरलाई पर्दा फिर्ता हेर्न र सबै एचटीटीपी "जादुई" दृश्यहरू पछि पर्दा पछाडि पर्न अनुमति दिन्छ। ती सबै GET र POSTs ब्राउजरमा देखाइएको प्रयोगकर्ता इन्टरफेस द्वारा लगाईएको बाधाहरू बिना हेरफेर गर्न सकिन्छ।
के जस्तै?
त्यसोभए हैकरहरूले डाटा खरिद गरे जस्तै किन र वेब अनुप्रयोग विकासकर्ताहरूले यसको ख्याल राख्नुपर्छ? मुख्य कारण यो व्यक्तिलाई ग्राहक र सर्भर बीचमा पठाइएको डेटासँग छेडछाड गर्न को लागी अनुमति दिन्छ (यसैले नाम तामाङ नाम)। जब तामाङ डाटा सुरू भएको छ र फायरफक्समा एक वेब अनुप्रयोग वा वेबसाइट सुरू भएको छ, छेउमा डेटाले सबै इनपुटहरू देखाउँदछ जसले प्रयोगकर्ता इनपुट वा हेरफेर अनुमति दिन्छ। एक हैकरले "वैकल्पिक मान" लाई एक क्षेत्र परिवर्तन गर्न सक्छ र डाटालाई सर्भरमा पठाउन सक्छ कि यो कसरी प्रतिक्रिया गर्दछ।
किन यो अनुप्रयोगको लागी हानिकारक हुन सक्छ
हैकरलाई अनलाइन अनलाइन किनमेल साइटमा जाँदै हुनुहुन्छ र उनीहरूको भर्चुअल सपिङ्ग कार्टमा एउटा वस्तु थप्छ। वेब अनुप्रयोग विकासकर्ता जसले खरीदारी कार्टमा बनाएको हो, प्रयोगकर्ताबाट मान स्वीकार गर्न गाईको कोडेड हुन सक्छ जस्तै कि मात्रा = "1" र प्रयोगकर्ता इन्टरफेस तत्व प्रति ड्रप-डाउन बक्समा सीमित मात्राको लागि पूर्वनिर्धारित चयनहरू समावेश गर्दछ।
एक हैकरले ड्रप-डाउन बक्सको प्रतिबन्धहरू बाईपास गर्न को लागी तामाङ डेटा प्रयोग गर्न प्रयास गर्न सक्दछ जसले केवल प्रयोगकर्ताहरूलाई सेटहरूको मानबाट चयन गर्न अनुमति दिन्छ जस्तै "1,2,3,4, र 5. डाटा तानेर प्रयोग गरेर, हैकर सक्छ "-1" वा शायद ".000001" को फरक मान प्रविष्ट गर्न प्रयास गर्नुहोस्।
यदि विकासकर्ताले आफ्नो इनपुट वैधिकरण नियमित रूपमा कोडन गरेको छैन भने, त्यसपछि यो "-1" वा ".000001" मान सम्भवतः समाप्त हुने वस्तु सूत्र हुन सक्दछ वस्तुको लागत गणना गर्नका लागि प्रयोग गरिएको (जस्तै मूल्य x मात्रा)। यसले कति अनपेक्षित परिणामहरू हुन सक्छ भन्ने आधारमा कति त्रुटि जाँच हुँदैछ र क्लाइन्ट-साइडबाट डेटामा कसरी विकासकर्तासँग छ भन्ने विश्वास गर्दछ। यदि खरीदारी कार्ट खराब गरीएको कोडेड हो, त्यसपछि ह्याकरले सम्भावित अनियमित ठूलो छुट लगाउन सक्छ, एक उत्पादमा रकम फिर्ता गरे जुन उनीहरूले खरीद गरेनन्, स्टोर स्टोर, वा अरूलाई थाहा छ।
तामाङ डाटा प्रयोग गरी वेब अनुप्रयोगको प्रयोगको दुरुपयोग अनन्त हुन्छ। यदि म एक सफ्टवेयर विकासकर्ता थिए, केवल जान्दछु कि डाटा बाहिर तिरस्कार गर्ने उपकरणहरू छन् त्यहाँ मलाई रातमा रहनेछ।
फ्लिप-साइडमा, तापर डेटा सुरक्षा-सचेत अनुप्रयोग विकासकर्ताहरूको प्रयोग गर्नका लागि उत्कृष्ट उपकरण हो जसले उनीहरूको अनुप्रयोगलाई क्लाइन्ट-साइड डेटा हेरफेर आक्रमणहरूमा कसरी प्रतिक्रिया दिन्छ भनेर देख्न सक्छ।
विकासकर्ताहरूले प्राय: प्रयोगकर्तालाई सफ्टवेयरको प्रयोग गर्न कसरी प्रयोग गर्ने भनेर ध्यान केन्द्रित गर्नका लागि प्रयोगका कारणहरू सिर्जना गर्दछ। दुर्भाग्यवश, तिनीहरूले अक्सर खराब केटा कारकलाई बेवास्ता गर्छन। एप विकासकर्ताहरूलाई उनीहरूको खराब मान्छे टोपीहरूमा राख्नु पर्दछ र हास्य डेटा जस्ता उपकरणहरू प्रयोग गरेर ह्याकरहरूको खातामा दुरुपयोगका कारणहरू सिर्जना गर्न आवश्यक छ।
तामाङ डेटा लेनदेन र सर्भर-साइड प्रोसेसहरू लाई असर गर्न अनुमति दिन अघि क्लाइन्ट-साइड इनपुट वैधिकरण र प्रमाणिकरण गर्न सुनिश्चित गर्नको लागि उनीहरूको सुरक्षा परीक्षण शस्त्रागारको अंश हुनुपर्छ। यदि डेभलपमेन्टहरूले उपकरणलाई आक्रमण गर्दा उनीहरूको अनुप्रयोगहरूले कसरी आक्रमण गर्ने प्रतिक्रिया देखाउँछन् भने उपकरणहरू प्रयोग गरेर सक्रिय भूमिका लिँदैनन्, त्यसपछि उनीहरूले के आशा गर्न सक्नेछन् र 60-इन्टर प्लाज्मा टिभीको लागि बिल भुक्तानी गर्न सक्नेछन् कि हैकर बस उनीहरूको दोषपूर्ण खरीदारी कार्ट प्रयोग गरेर 99 सेन्टका लागि किन्नुभयो।
फायरफक्सका लागि तामाङ डाटा एड-अनको बारेमा थप जानकारीको लागि तामाङ डाटा फायरफक्स एड-अन पृष्ठमा जानुहोस्।