Τι είναι το Tamper Data;
Εισαγωγή: Οι προγραμματιστές Web εφαρμογών συχνά έχουν την εντύπωση ή την προσδοκία, ότι οι περισσότεροι χρήστες θα ακολουθούν τους κανόνες όταν χρησιμοποιούν μια εφαρμογή, χωρίς να λαμβάνουν και τόσο πολύ υπόψιν τους ότι υπάρχουν χρήστες που γενικότερα δεν ακολουθούν τους κανονισμούς, βλέπε hackers. Τι μπορεί να συμβεί αν κάποιος χρήστης εγκαταλείπει τη φανταχτερό διεπαφή μιας web εφαρμογής και αρχίζει να τα κάνει άνω κάτω, χωρίς τους περιορισμούς που επιβάλλονται από ένα πρόγραμμα περιήγησης;
Ο Firefox είναι ο browser που επιλέγουν οι περισσότεροι hackers αλλά και οι developers, εξαιτίας του ότι έχει ένα πολύ φιλικό σχεδιασμό για να δέχεται plug-ins. Ένα από τα πιο δημοφιλή εργαλεία που χρησιμοποιούν οι hackers στον Firefox είναι ένα add-on που ονομάζεται Tamper Data. Το Tamper Data δεν είναι ένα πολύπλοκο εργαλείο. Είναι απλώς ένα proxy, ή κάτι που μπαίνει μεταξύ του hacker και της web εφαρμογής. Ας δούμε όμως τι κάνει.
Το Tamper Data επιτρέπει σε έναν hacker να ξεσκεπάσει όλες τις λειτουργίες της HTTP “μαγεία” που γίνονται στο παρασκήνιο. Έτσι μπορεί να διαχειριστεί όλα τα GETs και τα POSTs χωρίς τους περιορισμούς που επιβάλλονται από τη διεπαφή χρήστη (user interface) που δείχνει το πρόγραμμα περιήγησης.
Οι hackers χρησιμοποιούν το Tamper Data γιατί τους επιτρέπει να παρέμβουν στα δεδομένα που λαμβάνονται και αποστέλλονται μεταξύ του πελάτη και του διακομιστή. Χρησιμοποιώντας το Tamper Data σε μια web εφαρμογή ή ιστοσελίδα που τρέχει στον Firefox, θα εμφανιστούν όλα τα πεδία που επιτρέπουν την είσοδο του χρήστη ή στην περίπτωση ενός κακόβουλου χρήστη τα κενά που επιτρέπουν μια παραβίαση. Ο hacker στη συνέχεια μπορεί να δώσει σε ένα πεδίο μια “εναλλακτική αξία” και να αρχίσει να στέλνει δεδομένα που δεν επιτρέπουν οι κανόνες της εφαρμογής ή της ιστοσελίδας στον server για να δει πώς θα αντιδράσει.
Ας δούμε όμως γιατί αυτό μπορεί να είναι επικίνδυνο για κάποια εφαρμογή:
Ας υποθέσουμε ότι ένας hacker κάνει την περιπλάνηση του σε μια διαδικτυακή αγορά και έχει γεμίσει το καλάθι αγορών του. Η ανάπτυξη της web εφαρμογής δείχνει την τιμή 5 που δηλώνει την ποσότητα που των αντικειμένων που υπάρχουν στο καλάθι αγορών.
Ένας hacker χρησιμοποιώντας το Tamper Data θα μπορούσε να παρακάμψει τους περιορισμούς του drop-down box που επιτρέπει στους χρήστες να επιλέγουν από ένα σύνολο από αξίες όπως τις “1,2,3,4, και 5. Χρησιμοποιώντας το Tamper Data, ο hacker θα μπορούσε να εισάγει μια διαφορετική τιμή όπως “-1” ή ίσως την “0,0000005”.
Αν ο προγραμματιστής της εφαρμογής δεν έχει κωδικοποιήσει σωστά τη ρουτίνα επικύρωσης των πληρωμών, τότε αυτή οι τιμές “-5” ή “0,0000005” αξία θα μπορούσαν ενδεχομένως να μπερδέψουν την εφαρμογή και συγκεκριμένα τον τύπο που χρησιμοποιεί για τον υπολογισμό του κόστους (τιμή x ποσότητα). Αυτό θα μπορούσε να προκαλέσει κάποια απροσδόκητα αποτελέσματα. Αν το καλάθι αγορών είναι ελάχιστα κωδικοποιημένο, τότε ο hacker μπορεί να καταλήξει με μια ακούσια τεράστια έκπτωση, μια επιστροφή σε ένα προϊόν που δεν είχε καν αγοράσει, ή ποιος ξέρει τι άλλο.
Οι δυνατότητες της κακής χρήσης μιας web εφαρμογής με το Tamper Data είναι ατελείωτες. Από την άλλη πλευρά, το Tamper Data είναι ένα εξαιρετικό εργαλείο για την ασφάλεια, αν χρησιμοποιηθεί από προγραμματιστές εφαρμογών για να δουν πως ανταποκρίνονται οι εφαρμογές στις επιθέσεις από client-side και πως διαχειρίζονται τα δεδομένα.
Για περισσότερες πληροφορίες σχετικά με το Tamper Data Add-on για το Firefox επισκεφθείτε την επίσημη σελίδα.
