वेब एप्लिकेशन डेवलपर्स अक्सर भरोसा करते हैं कि अधिकतर उपयोगकर्ता नियमों का पालन करने जा रहे हैं और एप्लिकेशन का उपयोग करने के लिए इसका उपयोग करते हैं, लेकिन उपयोगकर्ता (या हैकर) नियमों को कब झुकता है? क्या होगा यदि कोई उपयोगकर्ता फैंसी वेब इंटरफ़ेस को छोड़ देता है और ब्राउज़र द्वारा लगाए गए बाधाओं के बिना हुड के नीचे घूमना शुरू कर देता है?
फ़ायरफ़ॉक्स के बारे में क्या?
फ़ायरफ़ॉक्स अपने प्लग-इन अनुकूल डिजाइन के कारण अधिकांश हैकरों के लिए पसंद का ब्राउज़र है। फ़ायरफ़ॉक्स के लिए अधिक लोकप्रिय हैकर टूल में से एक टैम्पर डेटा नामक ऐड-ऑन है। टैपर डेटा एक जटिल जटिल उपकरण नहीं है, यह केवल एक प्रॉक्सी है जो उपयोगकर्ता और वेबसाइट या वेब एप्लिकेशन के बीच में स्वयं को सम्मिलित करता है।
टैपर डेटा दृश्यों के पीछे सभी HTTP "जादू" होने के साथ पर्दे को देखने और गड़बड़ करने के लिए एक हैकर को छीलने की अनुमति देता है। उन सभी जीईटी और पीओएसटी को ब्राउजर में देखे गए यूजर इंटरफेस द्वारा लगाए गए बाधाओं के बिना छेड़छाड़ की जा सकती है।
क्या पसंद है?
तो हैमर क्यों टैपर डेटा की तरह है और वेब एप्लिकेशन डेवलपर्स को इसके बारे में क्यों परवाह करना चाहिए? मुख्य कारण यह है कि यह किसी व्यक्ति को क्लाइंट और सर्वर (इसलिए नाम टैम्पर डेटा) के बीच भेजे गए डेटा के साथ छेड़छाड़ करने की अनुमति देता है। जब टैपर डेटा शुरू होता है और फ़ायरफ़ॉक्स में एक वेब ऐप या वेबसाइट लॉन्च की जाती है, तो टैपर डेटा उन सभी फ़ील्ड दिखाएगा जो उपयोगकर्ता इनपुट या हेरफेर की अनुमति देते हैं। एक हैकर तब एक फ़ील्ड को "वैकल्पिक मान" में बदल सकता है और डेटा को सर्वर पर भेज सकता है यह देखने के लिए कि यह कैसा प्रतिक्रिया करता है।
यह एक आवेदन के लिए खतरनाक क्यों हो सकता है
कहें कि हैकर एक ऑनलाइन शॉपिंग साइट पर जा रहा है और एक आइटम को उनके वर्चुअल शॉपिंग कार्ट में जोड़ता है। शॉपिंग कार्ट बनाने वाले वेब एप्लिकेशन डेवलपर ने कार्ट से उपयोगकर्ता को मूल्य स्वीकार करने के लिए कोड किया होगा मात्रा = "1" और उपयोगकर्ता इंटरफ़ेस तत्व को मात्रा के लिए पूर्वनिर्धारित चयन वाले ड्रॉप-डाउन बॉक्स में प्रतिबंधित कर दिया।
एक हैकर ड्रॉप-डाउन बॉक्स के प्रतिबंधों को बाईपास करने के लिए टैपर डेटा का उपयोग करने का प्रयास कर सकता है जो केवल उपयोगकर्ताओं को 1, 2, 3, 4, और 5 जैसे मानों के सेट से चयन करने की अनुमति देता है। टैपर डेटा का उपयोग करके, हैकर कोशिश कर सकता है "-1" या शायद ".000001" कहने का एक अलग मूल्य दर्ज करें।
यदि डेवलपर ने अपने इनपुट सत्यापन दिनचर्या को सही ढंग से कोड नहीं किया है, तो यह "-1" या ".000001" मान संभवतः आइटम की लागत (जैसे मूल्य x मात्रा) की गणना करने के लिए प्रयुक्त सूत्र में पारित किया जा सकता है। इससे कुछ अनपेक्षित परिणाम हो सकते हैं कि कितनी त्रुटि जांच चल रही है और क्लाइंट-साइड से आने वाले डेटा में डेवलपर का कितना भरोसा है। यदि शॉपिंग कार्ट को खराब कोड किया गया है, तो हैकर संभावित अप्रत्याशित भारी छूट प्राप्त कर सकता है, उस उत्पाद पर धनवापसी जो उन्होंने खरीदा नहीं है, एक स्टोर क्रेडिट, या कौन जानता है और क्या जानता है।
टैपर डेटा का उपयोग कर वेब एप्लिकेशन के दुरुपयोग की संभावनाएं अनंत हैं। अगर मैं एक सॉफ्टवेयर डेवलपर था, तो सिर्फ यह जानकर कि वहां टैपर डेटा जैसे टूल हैं, रात में मुझे बनाए रखेंगे।
फ्लिप-साइड पर, टैपर डेटा सुरक्षा-जागरूक एप्लिकेशन डेवलपर्स का उपयोग करने के लिए एक उत्कृष्ट उपकरण है ताकि वे देख सकें कि उनके एप्लिकेशन क्लाइंट-साइड डेटा मैनिपुलेशन हमलों का जवाब कैसे देते हैं।
डेवलपर्स अक्सर इस बात पर ध्यान केंद्रित करने के लिए "केस का उपयोग करें" बनाते हैं कि कोई उपयोगकर्ता लक्ष्य को पूरा करने के लिए सॉफ़्टवेयर का उपयोग कैसे करेगा। दुर्भाग्यवश, वे अक्सर बुरे आदमी कारक को अनदेखा करते हैं। ऐप डेवलपर्स को अपने बुरे लड़के टोपी लगाने और टैपर डेटा जैसे टूल का उपयोग करके हैकर्स के लिए "दुरुपयोग मामले" बनाने की आवश्यकता है।
टैम्पर डेटा लेनदेन और सर्वर-साइड प्रक्रियाओं को प्रभावित करने की अनुमति देने से पहले क्लाइंट-साइड इनपुट को सत्यापित और सत्यापित करने में सहायता के लिए उनके सुरक्षा परीक्षण शस्त्रागार का हिस्सा होना चाहिए। यदि डेवलपर्स टैम्पर डेटा जैसे टूल का उपयोग करने में सक्रिय भूमिका निभाते हैं तो यह देखने के लिए कि उनके एप्लिकेशन कैसे हमले का जवाब देते हैं, तो उन्हें पता नहीं चलेगा कि 60 "प्लाज़्मा टीवी के लिए बिल का भुगतान करने के लिए क्या उम्मीद करनी चाहिए और हैकर अभी खरीदा है अपने दोषपूर्ण शॉपिंग कार्ट का उपयोग कर 99 सेंट के लिए।
