웹 응용 프로그램 개발자는 대부분의 사용자가 규칙을 따르고 응용 프로그램을 사용할 의도가 있다고 믿지만 사용자 (또는 해커 )가 규칙을 굽히는 방법은 어떨까요? 사용자가 멋진 웹 인터페이스를 건너 뛰고 브라우저에서 부과 된 제약없이 후드에서 엉망이되면 어떻게 될까요?
Firefox는 어떤가?
Firefox는 플러그 - 인 친화적 인 설계로 인해 대부분의 해커가 선호하는 브라우저입니다. Firefox 용으로 널리 사용되는 해커 도구 중 하나는 Tamper Data라는 부가 기능입니다. 탬 퍼 데이터는 매우 복잡한 도구는 아니며 사용자와 웹 사이트 또는 웹 응용 프로그램 사이에 자신을 삽입하는 프록시 일뿐입니다.
Tamper Data는 해커가 커튼을 벗겨서 뒤에서 일어나는 모든 HTTP "마법"을보고 혼란시킬 수 있습니다. 모든 GET 및 POST는 브라우저에 표시된 사용자 인터페이스에 의해 부과 된 제약없이 조작 할 수 있습니다.
무엇을 좋아할 것인가?
그렇다면 왜 Tamper Data와 같은 해커가 그렇게 많은가? 왜 웹 애플리케이션 개발자는 왜 그것을 염려해야 하는가? 주된 이유는 사람이 서버와 클라이언트간에 데이터를주고받는 것을 방해 할 수 있기 때문입니다 (따라서 Tamper Data라는 이름). Tamper Data가 시작되고 웹 응용 프로그램 또는 웹 사이트가 Firefox에서 시작되면 Tamper Data는 사용자 입력 또는 조작을 허용하는 모든 입력란을 표시합니다. 그런 다음 해커는 필드를 "대체 값"으로 변경하고 서버에 데이터를 보내어 어떻게 반응하는지 확인할 수 있습니다.
이것이 응용 프로그램에 위험한 이유
해커가 온라인 쇼핑 사이트를 방문하고 가상 장바구니에 항목을 추가한다고 가정 해보십시오. 장바구니를 구축 한 웹 애플리케이션 개발자는 카트의 코드를 Quantity = "1"과 같은 사용자로부터의 값을 받아들이도록하고, 사용자 인터페이스 요소를 수량에 대한 미리 결정된 선택을 포함하는 드롭 다운 상자로 제한 할 수있다.
해커는 임의 변경 데이터를 사용하여 사용자가 "1,2,3,4 및 5"와 같은 값 집합에서 선택할 수 있도록하는 드롭 다운 상자의 제한을 무시할 수 있습니다. 변경 데이터를 사용하면 해커가 "-1"또는 ".000001"과 같은 다른 값을 입력하십시오.
개발자가 입력 유효성 검사 루틴을 올바르게 코딩하지 않은 경우이 "-1"또는 ".000001"값이 항목 비용 (즉, 가격 x 수량)을 계산하는 데 사용되는 수식에 전달 될 수 있습니다. 이는 얼마나 많은 오류 검사가 진행되고 클라이언트 측에서 오는 데이터에 개발자가 얼마나 많은 신뢰를 가지고 있는지에 따라 예기치 않은 결과를 초래할 수 있습니다. 장바구니가 제대로 코딩되지 않은 경우 해커가 의도하지 않은 엄청난 할인을 받거나 구매조차하지 않은 제품에 대한 환불, 상점 크레딧 또는 다른 어떤 것을 알 수 있습니다.
Tamper Data를 사용하여 웹 응용 프로그램을 오용 할 가능성은 무한합니다. 내가 소프트웨어 개발자라면 Tamper Data와 같은 도구가 있다는 것을 알면 밤에 나를 계속 지켜줄 것입니다.
플러스 측면에서 Tamper Data는 보안을 염두에두고있는 응용 프로그램 개발자가 응용 프로그램에서 클라이언트 측 데이터 조작 공격에 어떻게 반응하는지 확인할 수있는 훌륭한 도구입니다.
개발자는 종종 사용자가 소프트웨어를 사용하여 목표를 달성하는 방법에 초점을두기 위해 유스 케이스를 만듭니다. 불행히도, 그들은 종종 나쁜 녀석을 무시합니다. 앱 개발자는 Tamper Data와 같은 도구를 사용하여 해커를 설명하기 위해 나쁜 사람 모자를 착용하고 오용 사례를 만들어야합니다.
Tamper Data는 클라이언트 측 입력이 트랜잭션 및 서버 측 프로세스에 영향을 미치기 전에 유효성을 확인하고 검증 할 수 있도록 보안 테스팅의 일부분이어야합니다. 개발자가 탬퍼 데이터 (Tamper Data)와 같은 도구를 사용하여 애플리케이션이 공격에 어떻게 반응 하는지를 적극적으로 관측하지 않으면 해커가 예상하는 바를 모르고 60 인치 플라즈마 TV에 대한 청구서를 낼 수 있습니다. 결함이있는 장바구니를 사용하여 99 센트에 구입했습니다.
Firefox의 Tamper Data Add-on에 대한 자세한 내용은 Tamper Data Firefox Add-on 페이지를 참조하십시오.