ഭൂരിഭാഗം ഉപയോക്താക്കളും നിയമങ്ങൾ പിന്തുടരുകയും ഒരു ഉദ്ദേശ്യമായി ഉപയോഗിക്കുന്ന ആപ്ലിക്കേഷൻ ഉപയോഗിക്കുകയും ചെയ്യുന്നതായി വെബ് ആപ് ഡെവലപ്പർമാർ പലപ്പോഴും വിശ്വസിക്കുന്നു, പക്ഷേ ഉപയോക്താവ് (അല്ലെങ്കിൽ ഹാക്കർ ) നിയമാനുസൃതമായപ്പോൾ എങ്ങിനെ? ഒരു ഉപയോക്താവ് ഫാൻസി വെബ് ഇന്റർഫെയ്സ് ഉപേക്ഷിച്ച് ബ്രൌസർ ചുമത്തപ്പെട്ട പരിമിതികളില്ലാത്ത തമാശക്ക് തൊട്ടു തുടങ്ങുന്നുണ്ടോ?
ഫയർഫോക്സ് എങ്ങിനെ?
പ്ലഗിൻ സൌഹാർദ്ദപരമായ ഡിസൈൻ കാരണം മിക്ക ഹാക്കറുകളും ഫയർഫോക്സ് ആണ്. ഫയർഫോക്സിനു വേണ്ടി കൂടുതൽ പ്രചാരമുള്ള ഹാക്കർ ഉപകരണങ്ങളിൽ ഒന്നാണ് ടാംപ് ഡാറ്റ എന്ന് വിളിക്കുന്ന ആഡ്-ഓൺ. ഒരു കുട്ടി സങ്കീർണ്ണമായ ഒരു ഉപകരണമല്ല, അത് ഉപയോക്താവിനും വെബ്സൈറ്റും അല്ലെങ്കിൽ അവർ ബ്രൗസുചെയ്യുന്ന വെബ് ആപ്ലിക്കേഷനും തമ്മിൽ ഇൻകമിങ് പ്രോക്സാണ് .
സബറിനു പിന്നിൽ നടക്കുന്ന എച്ച്ടിടിപി "മാജിക്" നോടൊപ്പം ഒരു ഹാക്കർ തിരശ്ശീലയ്ക്ക് പുറത്തെടുക്കാൻ ഹാക്കർ അനുവദിക്കുന്നു. ബ്രൌസറിൽ ദൃശ്യമായ ഉപയോക്തൃ ഇന്റർഫേസ് ചുമത്തപ്പെട്ട പരിമിതികളൊന്നുമില്ലാതെ തന്നെ GET കൾ, POST കൾ കൈകാര്യം ചെയ്യാൻ കഴിയും.
എന്തൊക്കെയാണ് ഇഷ്ടപ്പെട്ടത്?
അതിനാൽ ടാംപർ ഡാറ്റ പോലുള്ള ഹാക്കർമാർ എന്തിനാണ്, എന്തുകൊണ്ട് വെബ് അപ്ലിക്കേഷൻ ഡവലപ്പർമാർ അതിനെക്കുറിച്ച് ശ്രദ്ധിക്കേണ്ടതുണ്ട്? പ്രധാന കാരണം ക്ലയന്റിനും സെർവറിനും ഇടയ്ക്ക് കൈമാറുന്ന വിവരവുമായി ഒരു വ്യക്തിയെ തകരാറിലാക്കാൻ ഇത് സഹായിക്കുന്നു (അതുകൊണ്ടാണ് ടാംപർ ഡാറ്റയുടെ പേര്). ടാംപർ ഡാറ്റ ആരംഭിക്കുകയും ഒരു വെബ് ആപ്ലിക്കേഷൻ അല്ലെങ്കിൽ വെബ്സൈറ്റ് ഫയർഫോക്സിൽ സമാരംഭിക്കുമ്പോൾ, ടാംപർ ഡാറ്റ ഉപയോക്തൃ ഇൻപുട്ട് അല്ലെങ്കിൽ കൃത്രിമത്വം അനുവദിക്കുന്ന എല്ലാ ഫീൽഡുകളും കാണിക്കും. ഒരു ഹാക്കർ ഒരു ഫീൽഡ് ഒരു "ഇതര മൂല്യം" ആയി മാറ്റുകയും സെർവറിന് അത് എങ്ങനെ പ്രവർത്തിക്കുന്നുവെന്ന് കാണുന്നതിന് സെർവർ അയയ്ക്കാൻ കഴിയും.
എന്തുകൊണ്ടാണ് ഇത് ഒരു അപേക്ഷയ്ക്ക് ഭീഷണിയാവുന്നത്
ഒരു ഹാക്കർ ഒരു ഓൺലൈൻ ഷോപ്പിംഗ് സൈറ്റ് സന്ദർശിക്കുകയും അവരുടെ ഇനങ്ങൾ വിർച്വൽ ഷോപ്പിംഗ് കാർട്ടിന് ചേർക്കുകയും ചെയ്യുന്നുവെന്ന് പറയുക. ഷോപ്പിംഗ് കാർട്ട് നിർമ്മിച്ച വെബ് ആപ്ലിക്കേഷൻ ഡവലപ്പർ ക്വാണ്ടറ്റി = "1" പോലുള്ള ഉപയോക്താവിൽ നിന്ന് ഒരു മൂല്യം സ്വീകരിക്കുന്നതിന് കാർട്ട് നൽകിയിരിക്കാം, കൂടാതെ ഉപയോക്തൃ ഇന്റർഫേസ് ഘടകം അളവിൽ മുൻകൂട്ടി നിശ്ചയിച്ചിട്ടുള്ള തിരഞ്ഞെടുപ്പുകൾ ഉള്ള ഒരു ഡ്രോപ്പ്-ഡൗൺ ബോക്സിലേക്ക് നിയന്ത്രിച്ചിരിക്കുന്നു.
ഹാക്കർ ഡാം ഡൗൺ ബോക്സിന്റെ നിയന്ത്രണങ്ങൾ ഒഴിവാക്കാൻ ടാംപർ ഡാറ്റ ഉപയോഗപ്പെടുത്താൻ ശ്രമിക്കാറുണ്ട്. "1,2,3,4", 5. "ടാംപ് ഡാറ്റ" ഉപയോഗിച്ച് ഹാക്കർക്ക് സാധ്യമായ "-1" അല്ലെങ്കിൽ ഒരുപക്ഷേ ".000001" എന്ന മറ്റൊരു മൂല്യം നൽകാനായി ശ്രമിക്കുക.
ഡവലപ്പർ ശരിയായി അവരുടെ ഇൻപുട്ട് മൂല്യനിർണ്ണയ രീതി ക്രമീകരിച്ചിട്ടില്ലെങ്കിൽ, ഈ "-1" അല്ലെങ്കിൽ ".000001" മൂല്യം വസ്തുവിന്റെ വില കണക്കുകൂട്ടാൻ ഉപയോഗിക്കുന്ന ഫോർമുലയിലേക്ക് കൈമാറാൻ സാധ്യതയുണ്ട് (അതായത്, വില x അളവ്). ക്ലയന്റ് സൈറ്റില് വരുന്ന ഡാറ്റയില് ഡവലപ്പര് എത്രമാത്രം വിശ്വസിക്കുന്നു എന്നതിന്റെ അടിസ്ഥാനത്തില് ചില അപ്രതീക്ഷിത ഫലങ്ങൾ ഇത് കാരണമാക്കും. ഷോപ്പിംഗ് കാർട്ട് മോശമായി കോഡുചെയ്തിട്ടുണ്ടെങ്കിൽ, ഹാക്കർ അത്തരത്തിലുള്ള ഒരു വലിയ കിഴിവ് ലഭിക്കുന്നു, അവർ വാങ്ങാത്ത ഒരു ഉൽപ്പന്നത്തിന്റെ റീഫണ്ട്, ഒരു സ്റ്റോർ ക്രെഡിറ്റ്, അല്ലെങ്കിൽ മറ്റാരൊക്കെ അറിയാമോ.
ടാംപ് ഡാറ്റ ഉപയോഗിച്ച് ഒരു വെബ് അപ്ലിക്കേഷൻ ദുരുപയോഗം ചെയ്യുന്നതിനുള്ള സാധ്യതകൾ അവസാനമില്ലാത്തവയാണ്. ഞാൻ ഒരു സോഫ്റ്റ്വെയർ ഡവലപ്പർ ആണെങ്കിൽ, താംപേർ ഡാറ്റ പോലുള്ള പ്രയോഗങ്ങൾ ഉണ്ടെന്ന് അറിഞ്ഞത് രാത്രിയിൽ എന്നെ കാത്തുനിൽക്കും.
ഫ്ലിപ്പ് സൈഡ്, താൽകാലിക ഡാറ്റ സുരക്ഷാ-ബോധമുള്ള അപ്ലിക്കേഷൻ ഡവലപ്പർമാർക്ക് ഉപയോഗിക്കാൻ ഒരു മികച്ച ഉപകരണമാണ്, അതിനാൽ അവരുടെ അപ്ലിക്കേഷനുകൾ ക്ലയന്റ്-സൈഡ് ഡാറ്റ തന്ത്രപ്രധാനമായ ആക്രമണങ്ങളോട് എങ്ങനെ പ്രതികരിക്കുന്നുവെന്നത് കാണാൻ കഴിയും.
ലക്ഷ്യം സാക്ഷാത്കരിക്കുന്നതിന് ഒരു സോഫ്റ്റ്വെയർ എങ്ങനെ ഉപയോഗിക്കുമെന്നതിൽ ഡവലപ്പർമാർ പലപ്പോഴും ഉപയോഗ കേസുകൾ സൃഷ്ടിക്കുന്നു. നിർഭാഗ്യവശാൽ, അവർ പലപ്പോഴും മോശം ആളുകളുടെ വസ്തുതയെ അവഗണിക്കുന്നു. അപ്ലിക്കേഷൻ ഡവലപ്പർ പോലുള്ളവ ഉപയോഗിക്കുന്ന ഹാക്കർമാർക്ക് ആപ്ലിക്കേഷൻ ഡവലപ്പർമാരെ അവരുടെ മോശം ആൺകുട്ടികളിലുണ്ടാകുകയും ദുരുപയോഗം ചെയ്യുന്ന കേസുകൾ സൃഷ്ടിക്കുകയും വേണം.
ക്ലയന്റ്-സൈഡ് ഇൻപുട്ട് സാധുതയുള്ളതും പരിശോധിച്ചുറപ്പിക്കുന്നതും ഇടപാടുകൾക്കും സെർവർ-സൈഡ് പ്രക്രിയകൾക്കും ബാധകമാകുന്നതിനുമുമ്പ് ഉറപ്പാക്കാൻ സഹായിക്കുന്നതിനായുള്ള അവരുടെ സുരക്ഷാ പരീക്ഷണ ശാലയുടെ ഭാഗമായി വേണം. ഡാംപർ ഡാറ്റ പോലുള്ള പ്രയോഗങ്ങൾ ഉപയോഗിക്കുന്നതിൽ ഡവലപ്പർമാർ സജീവ പങ്കുവഹിക്കുന്നില്ലെങ്കിൽ അവരുടെ അപേക്ഷകൾ എങ്ങനെ ആക്രമണത്തിന് പ്രതികരിക്കുന്നു എന്നതിനെക്കുറിച്ചറിയാതെ, 60 ഇഞ്ച് പ്ലാസ്മാ ടിവിക്ക് വേണ്ടി ബിൽ അടയ്ക്കേണ്ടിവരും, 99 സെന്റ് വിലയ്ക്ക് വാങ്ങിയ ഷോപ്പിംഗ് കാർട്ട് ഉപയോഗിച്ചു.
ഫയർഫോക്സിനായുള്ള ടാപ്പർ ഡാറ്റാ ആഡ്-ഓണിനെക്കുറിച്ചുള്ള കൂടുതൽ വിവരങ്ങൾക്ക്, ടാംപ് ഡാറ്റ ഫയർഫോക്സ് ആഡ്-ഓൺ പേജ് സന്ദർശിക്കുക.