Вэб програм хөгжүүлэгчид нь ихэнх хэрэглэгчид дүрмийг дагаж мөрдөж, програмаа ашиглахаар төлөвлөж байгаа гэдэгт итгэлтэй байдаг, гэхдээ хэрэглэгчийн (эсвэл хакерчер ) дүрмийг хэрхэн хөнгөлдөг вэ? Хэрэглэгч интернетийн интерфейсийг алгасаж, интернетийн хөтөчөөс үүдэлтэй хязгаарлалтгүйгээр бүрхүүлийн дор байгаа юм уу?
Firefox-ийн тухай
Firefox нь ихэнх хакеруудын сонголтод зориулсан хөтөч юм. Firefox-д зориулсан хамгийн алдартай хакерийн хэрэгслүүдийн нэг нь Tamper Data гэсэн нэмэлт зүйл юм. Сонирхогчдын мэдээлэл нь хэт нарийн төвөгтэй хэрэгсэл биш, зөвхөн хэрэглэгчид болон вэбсайт эсвэл интернетийн вэбсайтуудын хоорондын харилцаанд ордог прокси юм.
Хийж буй өгөгдөл нь хакерыг бүх HTTP-н "ид шид" -тэй харагдуулах, хөшөө хийх боломжийг олгодог. Бүх GET ба POST-ууд нь хөтчийн харагдах хэрэглэгчийн интерфейсээр хязгаарлагдахгүйгээр удирдаж болно.
Юуны тулд?
Яагаад хакерууд Ховордлын өгөгдөл маш их байдаг, яагаад вэб програм хөгжүүлэгчид үүнийг яагаад анхаарах ёстой вэ? Гол шалтгаан нь үйлчлүүлэгч болон сервер хоёрын хооронд илгээгдсэн өгөгдлүүдийг өөрчилснөөр хүнийг (энэ нь Хэлмэрийн Мэдээллийн нэр) хоёуланг нь дамжуулах боломжийг олгодог. Холбоо барих мэдээлэл эхлэхэд, вэб апп эсвэл вэбсайтыг Firefox-д эхлүүлсэн бол Tamper Data нь хэрэглэгчийн оролт, гаралтыг зөвшөөрдөг бүх талбаруудыг харуулна. Дараа нь хакерд нь "талбарт" гэсэн утгыг өөрчилснөөр өгөгдлийг сервер рүү хэрхэн хариу үйлдэл үзүүлэхийг үзүүлдэг.
Програмд аюултай байж магадгүй юм
Хакерийг онлайн худалдааны сайтаар зочилж, өөрийн виртуал худалдааны тэрэг рүү зүйл нэмнэ үү. Худалдааны тэрэг барьсан вэб програм хөгжүүлэгч нь трэйн = "1" гэх мэт хэрэглэгчээс үнэ цэнийг хүлээн авахаар кодчилсон байж болох бөгөөд хэрэглэгчийн интерфэйсийн элементийг тоо хэмжээг урьдчилан тодорхойлсон сонголт бүхий уналт доош хайрцагт хязгаарлаж болно.
Хакер нь Хэрэглэгчдийн өгөгдлийг ашиглахын тулд drop-down box-ыг тойрон гарахыг оролдож болно. Энэ нь хэрэглэгчдийг "1,2,3,4, ба" Таарах Data ашиглан " "-1" эсвэл магадгүй ".000001" гэж хэлэх өөр утгыг оролдоорой.
Хэрэв боловсруулагч нь өөрсдийн оролтын баталгаажуулалтын явцыг зөв кодчлоогүй бол энэ "-1" эсвэл ".000001" утга нь тухайн зүйлийн өртөгийг тооцоолоход ашиглагдах томъёогоор дамжуулж болох юм (өөрөөр хэлбэл Price x Тоо хэмжээ). Энэ нь хэчнээн алдаатай шалгалт хийгдэж байгаа болон үйлчлүүлэгч талаас ирсэн өгөгдөлд хөгжүүлэгчид хэр найддагаас хамааран зарим гэнэтийн үр дүнг үүсгэж болох юм. Хэрэв худалдааны тэрэг муу кодлогдсон бол хакерд нь боломжит их хэмжээний хөнгөлөлт авах, худалдан авалт хийгээгүй, дэлгүүрийн кредит, эсвэл өөр юуг мэддэг талаар эргүүлэн өгөх болно.
Үл тасалдлын мэдээллийг ашиглан вэб програмыг ашиглахгүй байх нь төгсгөлгүй юм. Хэрвээ би програм хангамж хөгжүүлэгч байсан бол Хийж байгаа өгөгдөл гэх мэт хэрэгсэл байгаа гэдгийг мэдээд шөнө намайг байлгах болно.
Нөгөө талаас, Tamper Data нь аюулгүй байдлын мэдлэгтэй програм хөгжүүлэгчдэд ашиглах маш сайн хэрэгсэл юм. Ингэснээр тэдгээрийн хэрэглээний програмууд нь клиентийн талаас өгөгдлийг удирдах халдлагад хэрхэн нөлөөлж байгааг харах боломжтой юм.
Хөгжүүлэгчид нь хэрэглэгчид програм хангамжийг зорилгоо биелүүлэхэд хэрхэн ашиглах талаар анхаарлаа хандуулах хэрэгтэй. Харамсалтай нь тэд муу залуу хүчин зүйлийг үл тоомсорлодог. Апп хөгжүүлэгчид муу залуу малгайгаа өмсөж, Хийцээт зүйлсийг хакеруудаас Хандах Data зэрэг хэрэгслийг ашиглан буруу тооцохыг шаарддаг.
Хаягдал өгөгдөл нь гүйлгээний болон сервер талын үйл явцад нөлөөлөхөөс өмнө үйлчлүүлэгчийн оролтыг баталгаажуулж, баталгаажуулахын тулд аюулгүй байдлын сорилтын агуулгын хэсэг байх ёстой. Хөгжүүлэгчид нь Интернэтээр довтлох гэх мэт хэрэгслийг ашиглан халдлагад хэрхэн хариу үзүүлэхийг харахад идэвхтэй үүрэг гүйцэтгэхгүй бол тэд юу хүлээж байгааг мэдэхгүй бөгөөд 60 инчийн плазмтай телевизийн төлбөрийг төлөх болно. 99 центээр худалдан авалт хийдэг.
Firefox-ийн Хаягдлын Мэдээллийн Нэмэлтийн талаарх нэмэлт мэдээллийг Tampar Data Firefox Add-on Page хуудсанд орж үзнэ үү.