பெரும்பாலான பயனர்கள் விதிகள் பின்பற்ற மற்றும் அதை பயன்படுத்த நோக்கம், ஆனால் எப்படி பயனர் (அல்லது ஒரு ஹேக்கர்) வளைகிறது விதிகள் பற்றி ஒரு பயன்பாடு பயன்படுத்த வேண்டும் என்று வலை பயன்பாடு உருவாக்குநர்கள் பெரும்பாலும் நம்புகிறேன்? ஒரு பயனாளர் ஆடம்பரமான வலை இடைமுகத்தைத் தழுவினால், உலாவியால் சுமத்தப்பட்ட கட்டுப்பாடுகள் இல்லாமல் ஹூட்டின் கீழ் குழப்பத்தைத் தொடங்குமா?
ஃபயர்பாக்ஸ் பற்றி என்ன?
பயர்பாக்ஸ் அதன் செருகுநிரல் நட்பு வடிவமைப்பு காரணமாக பெரும்பாலான ஹேக்கர்களுக்கு விருப்பமாக உலாவி உள்ளது. ஃபயர்பிக்கான மிகவும் பிரபலமான ஹேக்கர் கருவிகளில் ஒன்று தம்பெர் டேட்டா என்று அழைக்கப்படுகிறது. தம்பி தரவு ஒரு சூப்பர் சிக்கலான கருவி அல்ல, இது ஒரு ப்ராக்ஸியாகும், அது பயனர் மற்றும் வலைத்தளத்தை அல்லது வலை உலாவலுக்கும் இடையே உலாவுகிறது.
டம்பர் டேட்டா திரைக்கு பின்னால் நடைபெறும் HTTP "மாய" எல்லாவற்றையும் பார்வையிட மற்றும் திரைக்கதைக்குத் திரும்ப ஹேக்கரை அனுமதிக்கிறது. அந்த GET கள் மற்றும் POST களை உலாவியில் காணப்படும் பயனர் இடைமுகத்தால் வரையறுக்கப்பட்ட கட்டுப்பாடுகள் இல்லாமல் கையாளப்படுகின்றன.
என்ன பிடிக்கும்?
அதனால் ஏன் டாம்ஃபர் தரவைப் போன்ற ஹேக்கர்கள் மற்றும் ஏன் இணைய பயன்பாடு உருவாக்குநர்கள் அதைப் பற்றி அக்கறை கொள்ள வேண்டும்? முக்கிய காரணம் வாடிக்கையாளர் மற்றும் சேவையகத்திற்கும் இடையில் முன்னும் பின்னுமாக அனுப்பப்பட்ட தரவுடன் ஒரு நபரைத் தடுக்க இது அனுமதிக்கிறது. டாம்பர் டேட்டா துவங்கியதும், ஒரு இணைய பயன்பாடு அல்லது வலைத்தளம் பயர்பொக்ஸில் அறிமுகப்படுத்தப்பட்டால், பயனரின் உள்ளீடு அல்லது கையாளுதலை அனுமதிக்கும் எல்லா புலங்களையும் டாம்பர் டேட்டா காண்பிக்கும். ஒரு ஹேக்கர் பின்னர் ஒரு "மாற்று மதிப்பு" ஒரு துறையில் மாற்ற மற்றும் அதை பிரதிபலிக்கிறது எப்படி பார்க்க சர்வர் தரவு அனுப்ப முடியும்.
ஏன் இது ஒரு பயன்பாட்டிற்கு ஆபத்தானது
ஒரு ஹேக்கர் ஆன்லைன் ஷாப்பிங் தளத்தைப் பார்வையிடுவதாகவும், அவர்களின் மெய்நிகர் வணிக வண்டியில் ஒரு உருப்படியை சேர்க்கிறது என்றும் கூறுங்கள். ஷாப்பிங் வண்டி கட்டிய வலை பயன்பாட்டு டெவெலபர், பயனரின் மதிப்பை ஏற்றுக்கொள்ள வண்டி குறியிடப்பட்டிருக்கலாம் அளவு = "1" மற்றும் பயனர் இடைமுக உறுப்பு அளவுக்கு முன்னரே தீர்மானிக்கப்பட்ட தேர்வுகளை கொண்ட ஒரு கீழ்தோன்றும் பெட்டியில் கட்டுப்படுத்தப்பட்டது.
ஒரு ஹேக்கர் 1, 2, 3, 4 மற்றும் 5 போன்ற மதிப்புகளின் தொகுப்பிலிருந்து பயனர்களைத் தேர்ந்தெடுப்பதைத் தடுக்க கீழ்தோன்றும் பெட்டியின் கட்டுப்பாடுகளைத் தவிர்த்து, தம்பெர் டேட்டாவைப் பயன்படுத்த முயற்சிக்கலாம். "-1" அல்லது ஒருவேளை ".000001" என்று வேறு மதிப்பு உள்ளிடவும்.
டெவெலபர் ஒழுங்காக தங்கள் உள்ளீடு சரிபார்ப்பு வழக்கமான குறியீடாக்கப்படவில்லை என்றால், இந்த "-1" அல்லது ".000001" மதிப்பானது, உருப்படியின் செலவை கணக்கிட பயன்படும் சூத்திரத்திற்கு அனுப்பப்படலாம் (எ.கா. விலை x அளவு). பிழை சரிபார்ப்பு நடக்கிறது மற்றும் வாடிக்கையாளர் பக்கத்திலிருந்து வரும் தரவில் டெவெலபர் எவ்வளவு நம்புகிறார் என்பதன் அடிப்படையில் இது சில எதிர்பாராத முடிவுகளை ஏற்படுத்தக்கூடும். ஷாப்பிங் கார்ட் மோசமாக குறியிடப்பட்டால், ஹேக்கர் முடிந்தவரை திட்டமிடப்படாத மிகப் பெரிய தள்ளுபடி, அவை வாங்காத ஒரு தயாரிப்பு, ஸ்டோர் கிரெடிட், அல்லது வேறு எதுக்கு எது என்று தெரியாது.
தாம்பெர் தரவைப் பயன்படுத்தி வலை பயன்பாட்டின் தவறான பயன்பாடு சாத்தியமற்றது. நான் மென்பொருள் டெவெலப்பராக இருந்திருந்தால், தம்பெர் டேட்டா போன்ற கருவிகளைக் கண்டுபிடித்து இரவில் என்னைக் காப்பாற்றுவேன் என்று தெரிந்து கொண்டேன்.
மறுபுறம், தம்பி தரவு பாதுகாப்பு-நனவாக பயன்பாட்டு டெவெலப்பர்களுக்கு பயன்படுத்த ஒரு சிறந்த கருவியாகும், இதனால் அவர்கள் பயன்பாடுகள் வாடிக்கையாளர்-தர தரவு கையாளுதல் தாக்குதல்களுக்கு எவ்வாறு பதிலளிக்கின்றன என்பதைப் பார்க்கலாம்.
ஒரு பயனர் ஒரு இலக்கை அடைய மென்பொருளை எவ்வாறு பயன்படுத்துவார் என்பதை மையமாகக் காண்பதற்கு உருவாக்குநர்கள் பெரும்பாலும் "பயன்பாட்டு வழக்குகள்" உருவாக்க வேண்டும். துரதிருஷ்டவசமாக, அவர்கள் அடிக்கடி கெட்ட பையன் காரணி புறக்கணிக்கிறார்கள். பயன்பாட்டு டெவலப்பர்கள் தங்கள் கெட்ட பையன் தொப்பிகளை வைக்க வேண்டும் மற்றும் Tamper Data போன்ற கருவிகள் பயன்படுத்தி ஹேக்கர்கள் கணக்கில் "தவறாக வழக்குகள்" உருவாக்க வேண்டும்.
வாடிக்கையாளர் பக்க உள்ளீடு செல்லுபடியாகும் மற்றும் உறுதிப்படுத்தப்படுவதற்கு முன்னர் பரிவர்த்தனைகள் மற்றும் சேவையக செயல்முறைகளை பாதிக்கும் முன்னர் சரிபார்க்க உறுதிப்படுத்த உதவும் தம்பீர் தரவு அவற்றின் பாதுகாப்பு சோதனை ஆயுதத்தின் பகுதியாக இருக்க வேண்டும். டெபர்ப் டேட்டாவைப் போன்ற கருவிகளைப் பயன்படுத்துவதில் டெவலப்பர்கள் செயல்திறனைப் பெறவில்லை என்றால், அவர்களது விண்ணப்பங்கள் எவ்வாறு தாக்குகின்றன என்பதைப் பார்க்க, பின்னர் அவர்கள் எதிர்பார்ப்பது என்ன என்று தெரியாது, மேலும் 60 "ப்ளஸ்மா டி.வி. 99 செண்டுகள் தங்கள் குறைபாடுடைய வண்டியை பயன்படுத்தி.
