వెబ్ అప్లికేషన్ డెవలపర్లు తరచూ చాలామంది వాడుకదారులు నియమాలను అనుసరిస్తారని మరియు దానిని ఉపయోగించడానికి ఉద్దేశించిన ఒక దరఖాస్తును ఉపయోగిస్తారని తరచూ విశ్వసిస్తారు, కానీ వినియోగదారుడు (లేదా హ్యాకర్ ) నియమాలను నియమించినప్పుడు ఎలా? వినియోగదారుడు ఫాన్సీ వెబ్ ఇంటర్ఫేస్ను వదలివేసి, బ్రౌజర్ ద్వారా విధించిన అడ్డంకులు లేకుండా హుడ్ కింద చుట్టుముట్టడం మొదలవుతుంది?
Firefox గురించి ఏమిటి?
Firefox దాని ప్లగ్-ఇన్ స్నేహపూర్వక రూపకల్పన వలన చాలా హ్యాకర్లు ఎంపిక చేసుకునే బ్రౌజర్. ఫైర్ఫాక్స్ కోసం మరింత ప్రజాదరణ పొందిన హ్యాకర్ ఉపకరణాలలో ఒకటి యాన్ ఆన్-ఆన్ టంపర్ డేటా. టంపర్ డేటా అనేది ఒక సూపర్ సంక్లిష్ట సాధనం కాదు, ఇది కేవలం ఒక ప్రాక్సీ మాత్రమే, ఇది యూజర్ మరియు వెబ్ బ్రౌజరు లేదా వారు వెబ్ బ్రౌజరులో వెబ్ బ్రౌజరు మధ్యలో ఇన్సర్ట్ చేస్తుంది.
సన్నివేశాల వెనుక HTTP "ఇంద్రజాలం" అన్నింటికీ వీక్షించడానికి మరియు గందరగోళంగా తెరవడానికి ఒక హ్యాకర్ తెరవడానికి అనుమతిస్తుంది. అన్ని GET లు మరియు POST లను బ్రౌజర్లో కనిపించే యూజర్ ఇంటర్ఫేస్ విధించిన అడ్డంకులు లేకుండా అవలంబించవచ్చు.
ఏమి ఇష్టం?
సో ఎందుకు హామర్ టాంపర్ డేటా వంటి చాలా మరియు ఎందుకు వెబ్ అప్లికేషన్ డెవలపర్లు దాని గురించి పట్టించుకోనట్లు? ప్రధాన కారణం క్లయింట్ మరియు సర్వర్ (అందుకే పేరు టంపర్ డేటా పేరు) మధ్య ముందుకు వెనుకకు పంపిన డేటాతో ఒక వ్యక్తిని అనుమతిస్తుంది. టంపర్ డేటాను ప్రారంభించినప్పుడు మరియు వెబ్ అనువర్తనం లేదా వెబ్సైట్ ఫైర్ఫాక్స్లో ప్రారంభించబడినప్పుడు, టంపర్ డేటా వినియోగదారు ఇన్పుట్ లేదా తారుమారుని అనుమతించే అన్ని క్షేత్రాలను చూపుతుంది. ఒక హ్యాకర్ అప్పుడు ఒక క్షేత్రాన్ని "ప్రత్యామ్నాయ విలువ" కు మార్చగలదు మరియు ఇది ఎలా ప్రతిస్పందిస్తుందో చూడడానికి సర్వర్కు డేటాను పంపవచ్చు.
ఎందుకు ఇది ఒక దరఖాస్తుకి ప్రమాదకరమని
హ్యాకర్ ఒక ఆన్లైన్ షాపింగ్ సైట్ను సందర్శిస్తుంది మరియు వారి వర్చువల్ షాపింగ్ కార్ట్కు అంశాన్ని జోడిస్తుంది. షాపింగ్ కార్ట్ను నిర్మించిన వెబ్ అప్లికేషన్ డెవలపర్ కార్ట్ ను కోడ్ = "1" లాంటి విలువను అంగీకరించడానికి మరియు యూజర్ ఇంటర్ఫేస్ మూలకాన్ని పరిమాణానికి ముందుగా నిర్ణయించిన ఎంపికలతో కూడిన డ్రాప్-డౌన్ పెట్టెకు పరిమితం చేసారు.
ఒక హ్యాకర్, "1,2,3,4, మరియు 5" వంటి విలువలను సమితి నుండి మాత్రమే ఎంచుకోవడానికి అనుమతించే డ్రాప్-డౌన్ బాక్స్ యొక్క పరిమితులను అధిగమించటానికి తాపెర్ డేటాను ఉపయోగించటానికి ప్రయత్నించవచ్చు. వేరే విలువను "-1" లేదా ".000001" అని చెప్పవచ్చు.
డెవలపర్ సరిగ్గా వారి ఇన్పుట్ ధ్రువీకరణ నియమావళిని సరిగ్గా నమోదు చేయకపోతే, ఈ "-1" లేదా ".000001" విలువ వస్తువు యొక్క ధరను అంచనా వేయడానికి ఉపయోగించిన ఫార్ములాకు గురవుతుంది (అంటే ధర x పరిమాణం). ఇది దోష పరిశీలన జరుగుతుందో మరియు క్లైంట్-వైపు నుండి వచ్చే డేటాలో డెవలపర్ ఎంత ఎక్కువ నమ్ముతుందో దానిపై ఆధారపడి కొన్ని ఊహించని ఫలితాలను కలిగించవచ్చు. షాపింగ్ కార్ట్ పేలవంగా కోడ్ చేయబడితే, హ్యాకర్లు అనుకోని భారీ తగ్గింపును పొందవచ్చు, వారు కొనుగోలు చేయని ఉత్పత్తిపై ఒక వాపసు, దుకాణ క్రెడిట్ లేదా ఇంకా ఏమి తెలిసిందో తెలుసుకొనవచ్చు.
టంపర్ డేటాను ఉపయోగించి వెబ్ అప్లికేషన్ యొక్క దుర్వినియోగం యొక్క అవకాశాలు అంతంతమాత్రంగా ఉన్నాయి. నేను సాఫ్ట్ వేర్ డెవలపర్ అయితే, టంపర్ డాటా వంటి టూల్స్ ఉన్నాయి అని తెలుసుకుంటే, రాత్రికి నన్ను ఉంచుతుంది.
ఫ్లిప్-వైపున, టంపర్ డేటా భద్రతా-జ్ఞాన అప్లికేషన్ డెవలపర్లు ఉపయోగించడానికి ఒక అద్భుతమైన సాధనం కాబట్టి వారు వారి అప్లికేషన్లు క్లయింట్ వైపు డేటా తారుమారు దాడులకు స్పందిస్తారు ఎలా చూడగలరు.
డెవలపర్లు వాడుక వాడుక కేసులను తరచుగా ఒక వినియోగదారు లక్ష్యాన్ని సాధించడానికి సాఫ్ట్వేర్ను ఎలా ఉపయోగిస్తారనే దానిపై దృష్టి పెడతారు. దురదృష్టవశాత్తు, వారు తరచూ చెడు వ్యక్తి కారకాన్ని విస్మరిస్తారు. అనువర్తనం డెవలపర్లు వారి చెడ్డ వ్యక్తి టోపీలు ఉంచారు మరియు అటువంటి టాంపర్ డేటా వంటి టూల్స్ ఉపయోగించి హ్యాకర్లు ఖాతాకు దుర్వినియోగ కేసులు సృష్టించడానికి అవసరం.
లావాదేవీలు మరియు సర్వర్-తరహా విధానాలను ప్రభావితం చేయడానికి అనుమతించే ముందు క్లయింట్-వైపు ఇన్పుట్ ధృవీకరించబడిందని మరియు ధృవీకరించబడిందని నిర్ధారించడానికి తాపెర్ డేటా వారి భద్రతా పరీక్ష ఆర్సెనల్లో భాగంగా ఉండాలి. డెవలపర్లు వారి అనువర్తనాలు ఎలా దాడికి స్పందించాలో చూడటానికి టాంపెర్ డేటా వంటి పరికరాలను ఉపయోగించడంలో చురుకైన పాత్ర పోషిస్తే, అప్పుడు వారు ఏమి ఊహించలేరనుకుంటారు మరియు 60-అంగుళాల ప్లాస్మా టీవీ కోసం బిల్లును చెల్లించాల్సి ఉంటుంది. వారి లోపభూయిష్ట షాపింగ్ కార్ట్ ఉపయోగించి 99 సెంట్లు కొనుగోలు.
మరింత సమాచారం కోసం ఫైర్ఫాక్స్ డేటా యాడ్ ఆన్ ఫైర్ఫాక్స్ కొరకు సందర్శించండి టంపర్ డేటా ఫైర్ఫాక్స్ యాడ్-ఆన్ పేజ్.