Pangembang aplikasi web asring percaya yen akeh pangguna bakal ngetutake aturan kasebut lan nggunakake aplikasi sing dimaksudake supaya bisa digunakake, nanging kepiye babagan nalika pangguna (utawa peretas ) mbendhet aturan? Apa manawa pangguna melu antarmuka web apik lan mulai ngelak-melik ing sangisore tutup tanpa watesan sing ditindakake dening browser?
Apa Tentang Firefox?
Firefox minangka browser pilihan kanggo paling peretas amarga desain plug-in ramah. Salah sijine alat hacker liyane sing populer kanggo Firefox yaiku add-on kang diarani Tamper Data. Data Tamper ora alat super rumit, mung proksi sing nglebokake dhewe ing antarane pangguna lan situs web utawa aplikasi web sing lagi nelusur.
Data Tamper ngidini hacker kanggo gawe maneh sandiworo kanggo ndeleng lan kekacoan karo kabeh "sihir" HTTP sing njupuk Panggonan konco adegan. Kabeh GET lan POST bisa dimanipulasi tanpa watesan sing ditindakake dening antarmuka panganggo sing katon ing browser.
Apa & # 39; s Like?
Mulane, ngapa para peretas kaya Tamper Data akeh lan ngapa para pengembang aplikasi web prihatin? Alesan utama yaiku ngidini wong nglakokake data sing dikirim bali lan balik ing antarane klien lan server (mula jenengake Data Tamper). Nalika Data Tamper diwiwiti lan aplikasi utawa website web dibukak ing Firefox, Tamper Data bakal nuduhake kabeh kolom sing ngidini masukan utawa manipulasi pangguna. A hacker banjur bisa ngganti kolom menyang "sulih nilai" lan ngirim data menyang server kanggo ndeleng carane ditanggepi.
Apa Iki Bisa Mbebayani Kanggo Aplikasi
Ngomongake peretas ngunjungi situs belanja online lan nambah item menyang keranjang belanja virtual. Pangembang aplikasi web sing mbangun keranjang belanja uga wis nganggo kode kart kanggo nampa nilai saka pangguna kayata Quantity = "1" lan mbatesi elemen antarmuka panganggo menyang kotak tarik sing ngemot pilihan sing wis ditemtokake kuantitas.
Seorang hacker bisa nyoba nggunakake Data Tamper kanggo ngliwati watesan kothak gulung sing mung ngidini pangguna kanggo milih saka sakumpulan nilai kayata "1,2,3,4, lan 5. Nggunakake Tamper Data, peretas bisa nyoba ngetik angka sing beda ngomong "-1" utawa mbok menawa ".000001".
Yen pangembang durung ngodheka rutin validasi input, mula nilai "-1" utawa ".000001" iki bisa mlebu ing rumus sing digunakake kanggo ngetung biaya item (ie Price x Quantity). Iki bisa nimbulaké sawetara asil sing ora dikarepke gumantung marang pirang-pirang prabeya sing wis ana lan apa dipercaya pangembang ing data sing teka saka pihak klien. Yen keranjang belanja kurang dikodekke, peretas kasebut bisa uga njaluk diskon ageng sing ora ditindakake, pengembalian produk sing durung didol, kredit nyimpen, utawa sing ngerti apa liyane.
Kemungkinan nyalahi panggunaan aplikasi web nggunakake Data Tamper ora ana telu. Yen aku dadi pangembang perangkat lunak, mung ngerti yen ana alat kaya Tamper Data metu ana sing bakal nyimpen aku ing wayah wengi.
Ing sisih liwati, Tamper Data minangka alat sing paling apik kanggo para pangembang aplikasi sing nyinaoni keamanan supaya bisa ndeleng carane aplikasi kasebut nanggapi serangan manipulasi data sisih klien.
Pengembang kerep nyipta Use Cases kanggo fokus ing babagan pangguna sing nggunakake piranti lunak kanggo ngrampungake gol. Sayange, dheweke kerep ora ngidini faktor wong ala. Pengembang app kudu masang topi ala wong lanang lan nggawe Misuse Kasus kanggo nyatak peretas nggunakake alat kayata Data Tamper.
Data Tamper kudu dadi bagian saka arsenal testing keamanan kanggo mbiyantu manawa input klien kasebut divalidasi lan diverifikasi sadurunge wis diidini kanggo mengaruhi transaksi lan pangolahan sisi server. Yen pangembang ora njupuk peran aktif kanggo nggunakake piranti kaya Tamper Data kanggo ndeleng carane aplikasi sing nanggapi serangan, banjur padha ora ngerti apa sing bakal dikarepake lan bisa mbayar bayar tagihan kanggo TV plasma 60-inch yen peretas mung tuku 99 sen nggunakake keranjang belanja rusak.
Kanggo informasi luwih lengkap babagan Tamper Data Add-on kanggo Firefox visit the Tamper Data Firefox Add-on Page.