વેબ એપ્લિકેશન વિકાસકર્તાઓ ઘણીવાર વિશ્વાસ કરે છે કે મોટાભાગના વપરાશકર્તાઓ નિયમોનું પાલન કરે છે અને ઉપયોગ કરવાના હેતુથી એપ્લિકેશનનો ઉપયોગ કરે છે, પરંતુ જ્યારે વપરાશકર્તા (અથવા હેકર ) નિયમોને વળાંક કરે છે ત્યારે શું? જો કોઈ વપરાશકર્તા ફેન્સી વેબ ઈન્ટરફેસને છોડે અને બ્રાઉઝર દ્વારા લાદવામાં આવતી મર્યાદાઓ વિના હૂડની ફરતે ગડબડ શરૂ કરે તો?
ફાયરફોક્સ વિષે શું?
ફાયરફોક્સ મોટા ભાગના હેકરો માટે પસંદગીનું બ્રાઉઝર છે કારણ કે તેના પ્લગ-ઇન મૈત્રીપૂર્ણ ડિઝાઇન ફાયરફોક્સ માટેના વધુ લોકપ્રિય હેકર ટૂલ્સમાંનું એક એડ-ઓન છે જેને ટેમ્પર ડેટા કહેવાય છે. ટેમ્પર ડેટા સુપર જટીલ ટૂલ નથી, તે ફક્ત પ્રોક્સી છે જે વપરાશકર્તા અને વેબસાઈટ અથવા વેબ એપ્લિકેશન જે તેઓ બ્રાઉઝ કરી રહ્યાં છે તેનામાં જ સામેલ કરે છે.
ટેમ્પર ડેટા, હેકરને પડદા પાછળના બધા HTTP "મેજિસ" સાથે જોવા અને વાસણમાં પાછા આવવા માટે પરવાનગી આપે છે. તે બધા GET અને POST નો ઉપયોગ બ્રાઉઝરમાં જોવાયેલા વપરાશકર્તા ઇન્ટરફેસ દ્વારા લાદવામાં આવેલા નિયંત્રણો વિના કરવામાં આવે છે.
શું ગમે છે?
તો શા માટે હેપર ટેમ્પર ડેટાની જેમ ખૂબ જ શા માટે કરે છે અને શા માટે વેબ એપ્લિકેશન ડેવલપર્સ તે વિશે કાળજી લેશે? મુખ્ય કારણ એ છે કે તે વ્યક્તિને ક્લાયન્ટ અને સર્વર (એટલે કે ટેમ્પર ડેટા નામ) વચ્ચે આગળ અને આગળ મોકલવામાં આવેલા ડેટા સાથે ચેડાં કરવા માટે પરવાનગી આપે છે. જ્યારે ટેમ્પર ડેટાનો પ્રારંભ થાય છે અને વેબ એપ્લિકેશન અથવા વેબસાઇટને Firefox માં લોંચ કરવામાં આવે છે, તો ટેમ્પર ડેટા તમામ ક્ષેત્રોને બતાવશે જે વપરાશકર્તા ઈનપુટ અથવા મેનીપ્યુલેશનને મંજૂરી આપે છે. એક હેકર પછી કોઈ ક્ષેત્રને "વૈકલ્પિક મૂલ્ય" માં બદલી શકે છે અને તે ડેટાને સર્વર પર મોકલી શકે છે કે તે કેવી રીતે પ્રતિક્રિયા કરે છે.
શા માટે આ એપ્લિકેશન માટે જોખમી હોઈ શકે છે
કહો કે હેકર એક ઑનલાઇન શોપિંગ સાઇટની મુલાકાત લે છે અને આઇટમને તેમની વર્ચ્યુઅલ શોપિંગ કાર્ટમાં ઉમેરે છે. શોપિંગ કાર્ટ બનાવતા વેબ ઍપ્લિકેશન ડેવલપરએ કાર્ટને કોડેડ કરી દીધું છે જેમ કે, યુઝર જેવા મૂલ્ય = "1" થી મૂલ્ય સ્વીકારવા અને યુઝર ઈન્ટરફેસ એલિમેન્ટને ડ્રોપ-ડાઉન બૉક્સ પર પ્રતિબંધિત કર્યા છે જેમાં જથ્થા માટે પૂર્વનિર્ધારિત પસંદગીઓ છે.
એક હેકર ડ્રોપ ડાઉન બૉક્સના બંધનોને બાયપાસ કરવા માટે ટેમ્પર ડેટાનો ઉપયોગ કરવાનો પ્રયાસ કરી શકે છે જે ફક્ત "1,2,3,4 અને 5 જેવા મૂલ્યોના સેટમાંથી વપરાશકર્તાઓને પસંદ કરવા દે છે. ટેમ્પર ડેટાનો ઉપયોગ કરીને હેકર "-1" અથવા કદાચ ".000001" કહેવા માટે અલગ મૂલ્ય દાખલ કરવાનો પ્રયાસ કરો.
જો ડેવલપરએ તેમની ઇનપુટ માન્યતાના નિયમિત રૂપે કોડેડ કરેલું નથી, તો પછી આ "-1" અથવા ".000001" મૂલ્ય વસ્તુની કિંમતની ગણતરી કરવા માટે વપરાતા સૂત્રને પસાર થઈ શકે છે (દાખલા તરીકે કિંમત X જથ્થો). ક્લાયન્ટ-બાજુથી આવતા ડેટામાં ડેવલપર પર કેટલી ભૂલ ચાલી રહી છે તેના આધારે અને કેટલાંક અનપેક્ષિત પરિણામો આનું કારણ બની શકે છે. જો શોપિંગ કાર્ટ ખરાબ રીતે કોડેડ કરવામાં આવે, તો હેકર શક્ય અકારણ વિશાળ ડિસ્કાઉન્ટ મેળવે છે, તે ઉત્પાદન પર રિફંડ કે જે તેમણે ખરીદ્યું ન હતું, સ્ટોરની ક્રેડિટ અથવા અન્ય કોણ જાણે છે.
Tamper ડેટાનો ઉપયોગ કરીને વેબ એપ્લિકેશનના દુરૂપયોગની શક્યતાઓ અનંત છે. જો હું સોફ્ટવેર વિકાસકર્તા હોત, તો માત્ર જાણીને કે ત્યાં ટેમ્પર ડેટા જેવા સાધનો છે ત્યાંથી મને રાત્રે રાખવામાં આવશે
ફ્લિપ બાજુ પર, ટેમ્પર ડેટા સુરક્ષા-સભાન એપ્લિકેશન વિકાસકર્તાઓ માટે ઉત્તમ સાધન છે જેથી તેઓ જોઈ શકે છે કે કેવી રીતે તેમની એપ્લિકેશન્સ ક્લાયન્ટ-બાજુ ડેટા મેનીપ્યુલેશન હુમલાઓને પ્રતિસાદ આપે છે.
ડેવલપર્સ ઘણીવાર ઉપયોગની કેસો બનાવીને ધ્યાન કેન્દ્રિત કરે છે કે કેવી રીતે એક વપરાશકર્તા લક્ષ્ય પૂર્ણ કરવા માટે સૉફ્ટવેરનો ઉપયોગ કરશે. કમનસીબે, તેઓ ઘણીવાર ખરાબ વ્યક્તિ ફેક્ટરને અવગણશે. એપ્લિકેશન વિકાસકર્તાઓને તેમના ખરાબ વ્યક્તિની ટોપીઓ પર મૂકવાની જરૂર છે અને ટીપર ડેટા જેવા સાધનોનો ઉપયોગ કરીને હેકરો માટે એકાઉન્ટમાં દુરુપયોગની કેસો બનાવવાની જરૂર છે.
ત્વરિત ડેટા તેમના સુરક્ષા પરીક્ષણ શસ્ત્રાગારનો એક ભાગ હોવો જોઈએ કે જેથી ટ્રાંઝેક્શન અને સર્વર બાજુની પ્રક્રિયાઓને પ્રભાવિત કરવાની મંજૂરી આપતા પહેલાં ક્લાયન્ટ-સાઇડ ઇનપુટ માન્ય અને ચકાસવામાં આવે. જો ડેવલપર્સ ટેમ્પર ડેટા જેવા સાધનોનો ઉપયોગ કરવા માટે સક્રિય ભૂમિકા ભજવતા નથી, તો તે જોવા માટે કે કેવી રીતે તેમની એપ્લિકેશન્સ હુમલાનો પ્રતિસાદ આપે છે, પછી તેઓ શું અપેક્ષા રાખશે નહીં અને 60-ઇંચના પ્લાઝમા ટીવી માટેનું બિલ ચૂકવી શકે છે. તેમની ખામીયુક્ત શોપિંગ કાર્ટનો ઉપયોગ કરીને 99 સેન્ટનો ખરીદ્યો.
ફાયરફોક્સ માટે ટેમ્પર ડેટા ઍડ-ઑન વિશેની વધુ માહિતી માટે ટેમ્પર ડેટા ફાયરફોક્સ એડ-ઓન પેજની મુલાકાત લો.