Vefur umsókn verktaki treystir oft að flestir notendur eru að fara að fylgja reglunum og nota forrit eins og það er ætlað að nota, en hvað um hvenær notandi (eða tölvusnápur ) beygir reglurnar? Hvað ef notandi sleppir ímynda vefviðmótið og byrjar að skipta um undir hettunni án þess að þvinga vafrann?
Hvað um Firefox?
Firefox er vafranum sem valið er fyrir flest tölvusnápur vegna þess að það er tengt við vingjarnlegur hönnun. Eitt af því vinsælustu spjallþráðartólin fyrir Firefox er viðbót sem kallast Tamper Data. Tamper Data er ekki mjög flókið tól, það er eingöngu umboðsmaður sem setur sig inn á milli notandans og vefsíðu eða vefforrit sem þeir eru að skoða.
Tamper Data leyfir tölvusnápur að afhýða fortjaldið til að skoða og skipta um öll HTTP "galdur" sem fer fram á bak við tjöldin. Öll þessi GETs og POSTs má meðhöndla án þess að takmarkanirnar sem notendaviðmótið setur í vafranum.
Hvað er til?
Svo hvers vegna gera tölvusnápur eins og Tamper Data svo mikið og af hverju ætti vefumsjónarmenn að sjá um það? Helsta ástæðan er sú að það gerir einstaklingi kleift að hnekkja gögnin sem send eru fram og til baka milli viðskiptavinarins og miðlarans (þess vegna heitir Tamper Data). Þegar Tamper Data er hafin og vefforrit eða vefsíða er hleypt af stokkunum í Firefox birtir Tamper Data allar reitir sem leyfa notanda inntak eða meðferð. Spjallþráð getur síðan breytt reit til "varamagns" og sent gögnin til þjónunnar til að sjá hvernig það bregst við.
Af hverju gæti þetta verið hættulegt fyrir umsókn
Segðu að tölvusnápur sé að fara á netverslunarsvæði og bætir hlut við raunverulegan innkaupakörfu sína. Vefur umsókn verktaki sem byggði innkaupakörfu kann að hafa dulmáli vagninn til að samþykkja gildi frá notanda eins og Quantity = "1" og takmarkaði notendaviðmótið í drop-down kassann sem inniheldur fyrirfram ákveðnar valmyndir fyrir magnið.
Spjallþráð gæti reynt að nota ruslpóst til að framhjá takmörkunum í fellilistanum sem aðeins leyfir notendum að velja úr hópi gilda eins og "1,2,3,4 og 5". Með því að nota ruslgögn gæti spjallþráðið Reyndu að slá inn annað gildi segja "-1" eða kannski ".000001".
Ef framkvæmdaraðili hefur ekki rétt kóða innsláttarprófunarferilinn þá gæti þetta "-1" eða ".000001" gildi hugsanlega endað með formúlunni sem notað er til að reikna kostnað hlutans (þ.e. Verð x Magn). Þetta gæti valdið nokkrum óvæntum niðurstöðum eftir því hve mikla villuleit er að fara og hversu mikið traust verktaki hefur í gögnum sem koma frá viðskiptavinarhliðinni. Ef innkaupakörfan er illa dulmáli þá getur spjallþráðið endað að fá hugsanlega óviljandi mikla afslátt, endurgreiðslu á vöru sem þeir ekki einu sinni keyptu, geyma inneign eða hver veit hvað annað.
Möguleikarnir á misnotkun á vefforriti sem nota Tamper Data eru endalausir. Ef ég væri hugbúnaður verktaki, bara að vita að það eru verkfæri eins og Tamper Gögn út there myndi halda mér upp á nóttunni.
Á flipanum er Tamper Data frábært tól til að nota öryggisvitund forritara til að nota svo að þeir geti séð hvernig umsókn þeirra bregst við árásum á gagnasafnsnotkun viðskiptavina.
Hönnuðir búa oft til að nota mál til að einblína á hvernig notandi myndi nota hugbúnaðinn til að ná markmiði. Því miður líta þeir oft á slæmur þáttur. App forritarar þurfa að setja slæman strák hatta og búa til misnotkun til að reikna fyrir tölvusnápur með því að nota tæki eins og Tamper Data.
Gagnaflutningsgögn skulu vera hluti af öryggisprófunarvopnabúrinu til að tryggja að inntak viðskiptavinarhliðar sé staðfest og staðfest áður en það er heimilt að hafa áhrif á viðskipti og miðlarahlið. Ef verktaki tekur ekki virkan þátt í því að nota tæki eins og Tamper Data til að sjá hvernig umsókn þeirra bregst við árás þá munu þeir ekki vita hvað ég á að búast við og gæti endað að greiða reikninginn fyrir 60 tommu plasma sjónvarpið að tölvusnápur bara keypt fyrir 99 sent með því að nota gallaða innkaupakörfu sína.
Nánari upplýsingar um Tíðniuppbótina fyrir Firefox er að finna í viðbótarsíðunni um gagnagrunninn.