वेब एप्लिकेशन डेवलपर्स अक्सर भरोसा करते हैं कि अधिकतर उपयोगकर्ता नियमों का पालन करने जा रहे हैं और एप्लिकेशन का उपयोग करने के लिए इसका उपयोग करते हैं, लेकिन उपयोगकर्ता (या हैकर ) नियमों को कब झुकता है? क्या होगा यदि कोई उपयोगकर्ता फैंसी वेब इंटरफ़ेस को छोड़ देता है और ब्राउज़र द्वारा लगाए गए बाधाओं के बिना हुड के नीचे घूमना शुरू कर देता है?
फ़ायरफ़ॉक्स के बारे में क्या?
फ़ायरफ़ॉक्स अपने प्लग-इन अनुकूल डिजाइन के कारण अधिकांश हैकरों के लिए पसंद का ब्राउज़र है। फ़ायरफ़ॉक्स के लिए अधिक लोकप्रिय हैकर टूल में से एक टैम्पर डेटा नामक ऐड-ऑन है। टैपर डेटा एक जटिल जटिल उपकरण नहीं है, यह केवल एक प्रॉक्सी है जो उपयोगकर्ता और वेबसाइट या वेब एप्लिकेशन के बीच में स्वयं को सम्मिलित करता है।
टैपर डेटा दृश्यों के पीछे सभी HTTP "जादू" होने के साथ पर्दे को देखने और गड़बड़ करने के लिए एक हैकर को छीलने की अनुमति देता है। उन सभी जीईटी और पीओएसटी को ब्राउजर में देखे गए यूजर इंटरफेस द्वारा लगाए गए बाधाओं के बिना छेड़छाड़ की जा सकती है।
क्या पसंद है?
तो हैमर क्यों टैपर डेटा की तरह है और वेब एप्लिकेशन डेवलपर्स को इसके बारे में क्यों परवाह करना चाहिए? मुख्य कारण यह है कि यह किसी व्यक्ति को क्लाइंट और सर्वर (इसलिए नाम टैम्पर डेटा) के बीच भेजे गए डेटा के साथ छेड़छाड़ करने की अनुमति देता है। जब टैपर डेटा शुरू होता है और फ़ायरफ़ॉक्स में एक वेब ऐप या वेबसाइट लॉन्च की जाती है, तो टैपर डेटा उन सभी फ़ील्ड दिखाएगा जो उपयोगकर्ता इनपुट या हेरफेर की अनुमति देते हैं। एक हैकर तब एक फ़ील्ड को "वैकल्पिक मान" में बदल सकता है और डेटा को सर्वर पर भेज सकता है यह देखने के लिए कि यह कैसा प्रतिक्रिया करता है।
यह एक आवेदन के लिए खतरनाक क्यों हो सकता है
कहें कि हैकर एक ऑनलाइन शॉपिंग साइट पर जा रहा है और एक आइटम को उनके वर्चुअल शॉपिंग कार्ट में जोड़ता है। शॉपिंग कार्ट का निर्माण करने वाले वेब एप्लिकेशन डेवलपर ने कार्ट से कोड = "1" जैसे मान को स्वीकार करने के लिए कोड को कोड किया होगा और उपयोगकर्ता इंटरफ़ेस तत्व को ड्रॉप-डाउन बॉक्स में प्रतिबंधित किया है जिसमें मात्रा के लिए पूर्वनिर्धारित चयन शामिल हैं।
एक हैकर ड्रॉप-डाउन बॉक्स के प्रतिबंधों को बाईपास करने के लिए टैपर डेटा का उपयोग करने का प्रयास कर सकता है जो केवल उपयोगकर्ताओं को "1,2,3,4, और 5 जैसे मानों के सेट से चुनने की अनुमति देता है। टैपर डेटा का उपयोग करके, हैकर "-1" या शायद ".000001" कहने का एक अलग मूल्य दर्ज करने का प्रयास करें।
यदि डेवलपर ने अपने इनपुट सत्यापन दिनचर्या को सही ढंग से कोड नहीं किया है, तो यह "-1" या ".000001" मान संभवतः आइटम की लागत (यानी मूल्य x मात्रा) की गणना करने के लिए प्रयुक्त सूत्र में पारित किया जा सकता है। इससे कुछ अनपेक्षित परिणाम हो सकते हैं कि कितनी त्रुटि जांच चल रही है और क्लाइंट-साइड से आने वाले डेटा में डेवलपर का कितना भरोसा है। यदि शॉपिंग कार्ट को खराब कोड किया गया है, तो हैकर संभावित अप्रत्याशित भारी छूट प्राप्त कर सकता है, उस उत्पाद पर धनवापसी जो उन्होंने खरीदा नहीं है, एक स्टोर क्रेडिट, या कौन जानता है और क्या जानता है।
टैपर डेटा का उपयोग कर वेब एप्लिकेशन के दुरुपयोग की संभावनाएं अनंत हैं। अगर मैं एक सॉफ्टवेयर डेवलपर था, तो सिर्फ यह जानकर कि वहां टैपर डेटा जैसे टूल हैं, रात में मुझे बनाए रखेंगे।
फ्लिप-साइड पर, टैपर डेटा सुरक्षा-जागरूक एप्लिकेशन डेवलपर्स का उपयोग करने के लिए एक उत्कृष्ट उपकरण है ताकि वे देख सकें कि उनके एप्लिकेशन क्लाइंट-साइड डेटा मैनिपुलेशन हमलों का जवाब कैसे देते हैं।
डेवलपर्स अक्सर इस बात पर ध्यान केंद्रित करने के लिए उपयोग केस बनाते हैं कि कोई उपयोगकर्ता लक्ष्य को पूरा करने के लिए सॉफ़्टवेयर का उपयोग कैसे करेगा। दुर्भाग्यवश, वे अक्सर बुरे आदमी कारक को अनदेखा करते हैं। ऐप डेवलपर्स को अपने बुरे लड़के टोपी लगाने और टैपर डेटा जैसे टूल का उपयोग करके हैकर्स के खाते में दुरुपयोग के मामलों को बनाने की आवश्यकता है।
टैम्पर डेटा लेनदेन और सर्वर-साइड प्रक्रियाओं को प्रभावित करने की अनुमति देने से पहले क्लाइंट-साइड इनपुट को सत्यापित और सत्यापित करने में सहायता के लिए उनके सुरक्षा परीक्षण शस्त्रागार का हिस्सा होना चाहिए। यदि डेवलपर्स टैम्पर डेटा जैसे टूल का उपयोग करने में सक्रिय भूमिका निभाते हैं तो यह देखने के लिए कि उनके एप्लिकेशन किस प्रकार हमले का जवाब देते हैं, तो उन्हें पता नहीं चलेगा कि 60 इंच प्लाज्मा टीवी के लिए बिल का भुगतान करना क्या समाप्त हो सकता है और हैकर बस अपने दोषपूर्ण शॉपिंग कार्ट का उपयोग कर 99 सेंट के लिए खरीदा।
फ़ायरफ़ॉक्स के लिए टैपर डेटा एड-ऑन पर अधिक जानकारी के लिए टैपर डेटा फ़ायरफ़ॉक्स ऐड-ऑन पेज पर जाएं।