ওয়েব অ্যাপ্লিকেশন ডেভেলপাররা প্রায়ই বিশ্বাস করে যে অধিকাংশ ব্যবহারকারী নিয়ম অনুসরণ করে যাচ্ছে এবং একটি অ্যাপ্লিকেশন ব্যবহার করার জন্য এটি ব্যবহার করা হচ্ছে, কিন্তু যখন ব্যবহারকারী (বা হ্যাকার ) নিয়মগুলি বিসর্জন দেয় তখন কীভাবে? যদি কোন ব্যবহারকারী ফ্যানসি ওয়েব ইন্টারফেসটি এড়িয়ে যায় এবং ব্রাউজার দ্বারা প্রযোজ্য সীমাবদ্ধতা ছাড়াই হুডের আড়ালে ঘেউ ঘেউ শুরু করে?
ফায়ারফক্স সম্পর্কে কি?
সর্বাধিক হ্যাকারদের জন্য ফায়ারফক্স পছন্দের ব্রাউজার কারণ এর প্লাগ-ইন বন্ধুত্বপূর্ণ ডিজাইন ফায়ারফক্সের জন্য আরো জনপ্রিয় হ্যাকার সরঞ্জামগুলির মধ্যে একটি হল অ্যাড-অন যা তামপার ডেটা বলে। তামর ডেটা একটি জটিল জটিল সরঞ্জাম নয়, এটি কেবল একটি প্রক্সি যা ব্যবহারকারী এবং ওয়েবসাইট বা ওয়েব অ্যাপ্লিকেশন যা তারা ব্রাউজ করছেন তাদের মধ্যেই প্রবেশ করে।
ছদ্মবেশে ডেটা হ্যাকারকে পর্দার পিছনে স্থানান্তরের সমস্ত "HTTP" জাদুকর দেখতে এবং জগাখিচুড়ি দেখার জন্য পর্দার পিছনে ছড়িয়ে দেয়। সমস্ত GET এবং পোস্ট ব্রাউজার দেখা ইউজার ইন্টারফেস দ্বারা আরোপিত সীমাবদ্ধতা ছাড়াই হেফাজতে পারেন।
কি ভালো লেগেছে?
তাই হ্যাকাররা তামার ডেটার মতো এত বেশি কেন এবং কেন ওয়েব অ্যাপ্লিকেশান ডেভেলপাররা এটি সম্পর্কে সচেতন? মূল কারণ হল এটি একটি ব্যক্তি ক্লায়েন্ট এবং সার্ভার (অতএব, তামার ডেটা নাম) এর মধ্যবর্তী এবং পিছনে পাঠানো ডেটার সাথে ছিন্নভিন্ন করার অনুমতি দেয়। যখন Tamper ডেটা শুরু করা হয় এবং ফায়ারফক্সে একটি ওয়েব অ্যাপ বা ওয়েবসাইট চালু করা হয়, তখন তামের ডেটা ব্যবহারকারীর ইনপুট বা ম্যানিপুলেশনকে অনুমতি দেয় এমন সব ক্ষেত্রগুলি প্রদর্শন করবে। একটি হ্যাকার একটি ক্ষেত্রকে "বিকল্প মান" রূপে পরিবর্তন করতে পারে এবং এটি কিভাবে প্রতিক্রিয়া দেখা যায় তা দেখতে সার্ভারে তথ্য পাঠাতে পারে।
কেন এটি একটি অ্যাপ্লিকেশনের জন্য বিপজ্জনক হতে পারে
বলুন যে একটি হ্যাকার একটি অনলাইন শপিং সাইট পরিদর্শন করছে এবং একটি আইটেম তাদের ভার্চুয়াল শপিং কার্টে যোগ করে। শপিং কার্ট তৈরি করে এমন ওয়েব এপ্লিকেশন ডেভেলপারটি কার্টের কোডটিকে ব্যবহারকারী থেকে মান যেমন "কোয়ান্টিফাস =" 1 "গ্রহণ করতে পারে এবং ইউজার ইন্টারফেসের উপাদানটি ড্রপডাউন বক্সের জন্য পূর্বনির্ধারিত নির্বাচন সহ পরিমাণে সীমাবদ্ধ হয়ে পড়ে।
একটি হ্যাকার ড্রপ ডাউন বাক্সের সীমাবদ্ধতাগুলি বাইপাস করতে তামার ডেটা ব্যবহার করার চেষ্টা করতে পারে যা ব্যবহারকারীদের "1,2,3,4 এবং 5 এর মতো মানগুলি থেকে নির্বাচন করার অনুমতি দেয়। তামাদার ডেটা ব্যবহার করে হ্যাকার "-1" অথবা সম্ভবত ".000001" বলে একটি ভিন্ন মান লিখতে চেষ্টা করুন
যদি বিকাশকারী তাদের ইনপুট বৈধকরণ রুটিন সঠিকভাবে কোডেড না করে থাকে, তাহলে এই "-1" বা ".000001" মান সম্ভবত আইটেমের মূল্য (যেমন মূল্য এক্স পরিমাণ) গণনা করার জন্য ব্যবহৃত সূত্রে প্রেরণ করা যেতে পারে। ক্লায়েন্ট-সাইড থেকে আসা ডেটাতে ডেভেলপারের উপর কতটা ত্রুটি পরীক্ষা চলছে তার উপর নির্ভর করে কিছু অপ্রত্যাশিত ফলাফল হতে পারে। যদি শপিং কার্টটি খারাপভাবে কোডেড থাকে, তবে হ্যাকাররা সম্ভাব্য অযৌক্তিক বিশাল ছাড়, একটি পণ্য যা তারা এমনকি ক্রয় না করে, একটি ক্রেডিট ক্রেডিটের উপর ফেরত পাঠাতে পারে অথবা কে অন্য কি জানে।
Tamper ডেটা ব্যবহার করে একটি ওয়েব অ্যাপ্লিকেশন অপব্যবহারের সম্ভাবনাগুলি অবিরাম। যদি আমি একটি সফ্টওয়্যার বিকাশকারী ছিলাম, তবে জানতাম যে তামপার ডেটা যেমন আছে তেমনি রাতের মধ্যে আমাকে রাখা হবে।
ফ্লিপ-সাইডে, তামপার ডেটা নিরাপত্তা-সচেতন অ্যাপ্লিকেশান ডেভেলপারদের জন্য একটি চমৎকার হাতিয়ার। এটি ব্যবহার করার জন্য যাতে তারা দেখতে পায় যে তাদের অ্যাপ্লিকেশনগুলি ক্লায়েন্ট-সাইড ডেটা ম্যানিপুলেশন আক্রমণগুলিতে কীভাবে সাড়া দেয়।
ডেভেলপারদের প্রায়ই লক্ষ্যগুলি অর্জনের জন্য একটি সফটওয়্যার ব্যবহার করে ব্যবহারকারী কীভাবে ব্যবহার করবে তার উপর মনোযোগ কেন্দ্রীভূত করুন। দুর্ভাগ্যক্রমে, তারা প্রায়ই খারাপ লোক ফ্যাক্টর উপেক্ষা করে অ্যাপ ডেভেলপারদের তাদের খারাপ লোকের হাট করা এবং হ্যাকারদের জন্য Tamper Data এর মতো সরঞ্জামগুলি ব্যবহার করার জন্য অপব্যবহারের ক্ষেত্রে তৈরি করা প্রয়োজন।
ক্লায়েন্ট-সাইড ইনপুট বৈধ এবং লেনদেন এবং সার্ভার-সাইড প্রসেসগুলি প্রভাবিত করার অনুমতিপ্রাপ্ত হওয়ার আগে এটি নিশ্চিত করতে সহায়তা করার জন্য ডেটা তাদের নিরাপত্তা পরীক্ষার আর্সেনালের অংশ হওয়া উচিত। যদি ডেভেলপারদের হামলার প্রতিক্রিয়া দেখায় কিভাবে Tamper Data ব্যবহার করে সরঞ্জামগুলি ব্যবহার করে সক্রিয় ভূমিকা নেয় না, তাহলে তারা কি আশা করে না এবং 60-ইঞ্চি প্লাজমা টিভির বিল পরিশোধ করতে পারে না যে হ্যাকার ঠিক তাদের ত্রুটিযুক্ত শপিং কার্ট ব্যবহার করে 99 সেন্ট জন্য কেনা।
ফায়ারফক্সের জন্য ডেটা অ্যাড-অনের আরও তথ্যের জন্য Tamper Data ফায়ারফক্স এড-অন পেজ দেখুন।