Waendelezaji wa programu ya wavuti mara nyingi wanaamini kwamba watumiaji wengi watafuata sheria na kutumia maombi kama inavyotarajiwa kutumiwa, lakini vipi kuhusu wakati mtumiaji (au hacker ) anapiga sheria? Je, ni kama mtumiaji anaruka kiungo cha mtandao cha dhana na anaanza kuzunguka chini ya hood bila vikwazo vilivyowekwa na kivinjari?
Je, Kuhusu Firefox?
Firefox ni kivinjari cha chaguo kwa wahasibu wengi kwa sababu ya mpango wake wa kuunganisha wa kirafiki. Moja ya zana maarufu zaidi za hacker kwa Firefox ni nyongeza inayoitwa Data ya Tamper. Takwimu za kupiga picha sio chombo cha ngumu sana, ni wakala tu unayejiingiza ndani ya mtumiaji na tovuti au maombi ya wavuti wanayoifuta.
Takwimu za kupunguza zinawezesha hacker kufuta kisamba cha kutazama na fujo na yote ya "uchawi" wa HTTP unafanyika nyuma ya matukio. GET zote na POST zinaweza kutumiwa bila vikwazo vinavyowekwa na interface ya mtumiaji inayoonekana kwenye kivinjari.
Nini & # 39; s To Like?
Kwa nini wanadanganyifu kama data ya Tamper sana na kwa nini watengenezaji wa programu ya mtandao wanapaswa kujali kuhusu hilo? Sababu kuu ni kwamba inaruhusu mtu kupunguzwa na data kutumwa na kurudi kati ya mteja na seva (kwa hiyo jina Tamper Data). Wakati Tamper Takwimu inapoanza na programu ya wavuti au tovuti inafunguliwa kwenye Firefox, Takwimu za Tamper zitaonyesha mashamba yote ambayo inaruhusu kuingia kwa mtumiaji au kudanganywa. Hacker anaweza kubadilisha shamba kwa "thamani mbadala" na kutuma data kwenye seva ili kuona jinsi inavyoathiri.
Kwa nini hii inaweza kuwa na hatari kwa Matumizi
Sema mchungaji anatembelea tovuti ya ununuzi mtandaoni na anaongeza kipengee kwenye gari yao ya ununuzi. Msanidi wa programu ya wavuti ambaye alijenga gari la ununuzi anaweza kuwa na coded gari ili kukubali thamani kutoka kwa mtumiaji kama Wingi = "1" na kuzuia kipengele cha interface cha mtumiaji kwenye sanduku la kushuka chini iliyo na uchaguzi uliotanguliwa kwa kiasi.
Mchungaji anaweza kujaribu kutumia Data ya Tamper ili kupitisha vikwazo vya sanduku la kushuka ambayo inaruhusu watumiaji kuchagua kutoka kwenye seti ya maadili kama vile "1,2,3,4, na 5. Kutumia Data ya Tamper, hacker anaweza jaribu kuingiza thamani tofauti ya kusema "-1" au labda ".000001".
Ikiwa msanidi hajashughulikia vizuri utaratibu wao wa uthibitishaji wa pembejeo, basi thamani hii ya "-1" au ".000001" ingeweza kuishia ikapitishwa kwa fomu iliyotumiwa kuhesabu gharama ya kipengee (yaani bei ya wingi). Hii inaweza kusababisha baadhi ya matokeo yasiyotarajiwa kulingana na ukosefu wa kosa unaoendelea na ni kwa kiasi gani mtengenezaji wa uaminifu ana data katika upande wa mteja. Ikiwa gari la ununuzi ni coded halali, basi hacker inaweza kuishia kupata rahisi iwezekanavyo discount discount, marejesho juu ya bidhaa hawakuwa hata kununua, duka la duka, au nani anajua nini kingine.
Uwezekano wa matumizi mabaya ya programu ya wavuti kutumia Data ya Tamper haitoshi. Ikiwa mimi ni msanidi wa programu, tukijua kwamba kuna zana kama Tamper Data nje kunaweza kunisimamia usiku.
Kwenye flip-side, Data Tamper ni chombo bora sana kwa waendelezaji wa programu ya usalama wanaotumia ili waweze kuona jinsi maombi yao yanakabiliwa na mashambulizi ya kudanganywa kwa data ya mteja.
Waendelezaji mara nyingi hutumia Matumizi ya Kazi kuzingatia jinsi mtumiaji atakavyoweza kutumia programu ili kukamilisha lengo. Kwa bahati mbaya, mara nyingi hupuuza sababu mbaya ya kijana. Waendelezaji wa programu wanahitaji kuweka kwenye kofia zao mbaya za watu na kuunda kesi zisizofaa kwa akaunti kwa washaghai kutumia zana kama vile Takwimu za Tamper.
Takwimu za kupunguza lazima ziwe sehemu ya silaha za kupima usalama ili kusaidia kuhakikisha kuwa mchango wa upande wa mteja imethibitishwa na kuthibitishwa kabla ya kuruhusiwa kuathiri shughuli na mchakato wa upande wa seva. Ikiwa watengenezaji hawatachukua jukumu la kutumia zana kama vile Tamper Data ili kuona jinsi maombi yao yanashughulikia kushambulia, basi hawajui nini cha kutarajia na wanaweza kuishia kulipa muswada huo kwa televisheni ya plasma ya 60-inch ambayo hacker tu ilinunuliwa kwa senti 99 kwa kutumia gari lao la ununuzi.
Kwa habari zaidi kuhusu Tamper Data Add-on kwa Firefox tembelea Ukurasa wa Tamper Data Firefox Kuongeza ukurasa.