البيانات العبث: إضافات فيرفكس

غالبًا ما يثق مطورو تطبيقات الويب بأن معظم المستخدمين سيتبعون القواعد ويستخدمون تطبيقًا كما هو مُعد للاستخدام ، ولكن ماذا عن قيام المستخدم (أو أحد المتسللين ) بإحكام القواعد؟ ماذا لو تخطى المستخدم واجهة الويب الفخمة وبدأ العبث تحت غطاء محرك السيارة دون القيود المفروضة من قبل المتصفح؟

ماذا عن فايرفوكس؟

فايرفوكس هو المتصفح المفضل لمعظم المتسللين بسبب تصميمه المريح. واحدة من أدوات القراصنة الأكثر شعبية لمتصفح فايرفوكس هي إضافات تسمى "تامبر داتا". لا يعتبر Tamper Data أداة معقدة للغاية ، فهو مجرد وكيل يدمج نفسه بين المستخدم والموقع أو تطبيق الويب الذي يتصفحونه.

يسمح "تامبر داتا" للمتسلل بنزع الستارة مرة أخرى وعرضها مع كل "سحر" HTTP الذي يحدث خلف الكواليس. يمكن التلاعب بجميع تلك GETs و POSTs دون القيود المفروضة من قبل واجهة المستخدم ينظر في المتصفح.

ما الذي يعجبني؟

فلماذا يمارس المخترقون مثل Tamper Data الكثير ولماذا يجب على مطوري تطبيقات الويب أن يهتموا به؟ السبب الرئيسي هو أنه يسمح للشخص عبث مع البيانات التي يتم إرسالها ذهابا وإيابا بين العميل والخادم (ومن هنا جاء اسم تامبير البيانات). عند بدء تشغيل Tamper Data وتفعيل تطبيق ويب أو موقع ويب في Firefox ، سيعرض Tamper Data جميع الحقول التي تسمح بإدخال المستخدم أو التلاعب به. يمكن للهاكر بعد ذلك تغيير حقل إلى "قيمة بديلة" وإرسال البيانات إلى الخادم لمعرفة كيف يتفاعل.

لماذا قد يكون هذا خطرًا على التطبيق

قل إن أحد المتسللين يزور موقع تسوق عبر الإنترنت ويضيف عنصرًا إلى سلة التسوق الافتراضية الخاصة به. ربما قام مطور تطبيق الويب الذي قام بتصميم عربة التسوق بترميز العربة لقبول قيمة من المستخدم مثل Quantity = "1" وحصر عنصر واجهة المستخدم في مربع القائمة المنسدلة الذي يحتوي على تحديدات محددة مسبقًا للكمية.

يمكن أن يحاول المخترق استخدام عبث البيانات لتجاوز قيود مربع القائمة المنسدلة التي تسمح فقط للمستخدمين بالاختيار من مجموعة من القيم مثل "1،2،3،4 ، و 5. باستخدام" عبث البيانات "، يمكن للهاكر حاول إدخال قيمة مختلفة للقول "-1" أو ربما ".000001".

إذا لم يقم المطور بتشفير روتين التحقق من صحته بشكل صحيح ، فمن المحتمل أن يتم تمرير هذه القيمة "-1" أو ".000001" إلى الصيغة المستخدمة لحساب تكلفة العنصر (أي السعر x الكمية). قد يتسبب هذا في بعض النتائج غير المتوقعة اعتمادًا على مقدار التحقق من الأخطاء الجاري ومدى الثقة التي لدى المطور في البيانات القادمة من جانب العميل. إذا كانت عربة التسوق مشفرة بشكل سيئ ، فقد ينتهي الهاكر بالحصول على خصم ضخم غير مقصود ، أو رد أموال على منتج لم يشتره حتى ، أو رصيد متجر ، أو من يعرف ماذا.

إمكانات سوء استخدام تطبيق الويب باستخدام Tamper Data لا حصر لها. إذا كنت مطور برامج ، فكل ما أعرفه هو أن هناك أدوات مثل "تامبر داتا" سوف تبقي لي في الليل.

على الجانب الآخر ، يعتبر تامبير داتا أداة ممتازة لمطوري التطبيقات المهتمين بالأمن حتى يتمكنوا من رؤية كيف تستجيب تطبيقاتهم لهجمات التلاعب بالبيانات من جانب العميل.

غالبًا ما ينشئ مطورو البرامج حالات الاستخدام للتركيز على كيفية استخدام المستخدم للبرنامج لتحقيق هدف. لسوء الحظ ، فإنهم في كثير من الأحيان تجاهل عامل الرجل السيئ. يحتاج مطورو التطبيقات إلى وضع قبعاتهم السيئة وإنشاء حالات إساءة الاستخدام لحساب المتسللين الذين يستخدمون أدوات مثل Tamper Data.

يجب أن تكون بيانات العبث جزءًا من ترسانة اختبارات الأمان للمساعدة على ضمان التحقق من صحة المدخلات من جانب العميل والتحقق منها قبل السماح لها بالتأثير على المعاملات وعمليات الخادم. إذا لم يقم المطورين بدور نشط في استخدام أدوات مثل Tamper Data لمعرفة كيفية استجابة تطبيقاتهم للهجوم ، فعندئذ لن يعرفوا ما يمكن توقعه وقد ينتهي الأمر بدفع فاتورة تلفزيون البلازما 60 بوصة أن المتسلل فقط اشترى ل 99 سنتا باستخدام سلة التسوق التالفة.

لمزيد من المعلومات حول برنامج Tamper Data Add-on لمتصفح فايرفوكس ، يرجى زيارة صفحة إضافة Tamper Data Firefox Add-on.