ຜູ້ ພັດທະນາໂປຣ ແກຣມ ເວັບ ມັກຈະເຊື່ອວ່າຜູ້ໃຊ້ສ່ວນໃຫຍ່ຈະປະຕິບັດຕາມກົດລະບຽບແລະນໍາໃຊ້ແອັບພລິເຄຊັນທີ່ໃຊ້ເພື່ອໃຊ້, ແຕ່ວ່າແນວໃດເມື່ອຜູ້ໃຊ້ (ຫຼື ແຮກເກີ ) ງໍກົດລະບຽບ? ຈະເປັນແນວໃດຖ້າຜູ້ໃຊ້ຂ້າມອິນເຕີເຟຊະເວັບໄຊຕ໌ທີ່ມີຄວາມປະທັບໃຈແລະຈະເລີ້ມຂັດຂວາງພາຍໃຕ້ Hood ໂດຍບໍ່ມີຂໍ້ຈໍາກັດທີ່ກໍານົດໄວ້ໂດຍຕົວທ່ອງເວັບ?
ສິ່ງທີ່ກ່ຽວກັບ Firefox?
Firefox ແມ່ນຕົວທ່ອງເວັບທາງເລືອກສໍາລັບແຮກເກີຫຼາຍທີ່ສຸດເພາະວ່າມັນມີການອອກແບບທີ່ເປັນມິດກັບຫມູ່. ຫນຶ່ງໃນເຄື່ອງມື hacker ຫຼາຍທີ່ສຸດສໍາລັບ Firefox ແມ່ນການເພີ່ມເຕີມທີ່ເອີ້ນວ່າຂໍ້ມູນ Tamper. ຂໍ້ມູນ Tamper ບໍ່ແມ່ນເຄື່ອງມືທີ່ສັບສົນທີ່ສຸດ, ມັນເປັນພຽງແຕ່ ຕົວແທນ ທີ່ໃສ່ຕົວໃນລະຫວ່າງຜູ້ໃຊ້ແລະເວັບໄຊທ໌ຫຼືຄໍາຮ້ອງສະຫມັກເວັບທີ່ພວກເຂົາກໍາລັງຊອກຫາ.
ຂໍ້ມູນ Tamper ອະນຸຍາດໃຫ້ແຮກເກີກັບ peel ກັບຄືນໄປບ່ອນ curtain ເພື່ອເບິ່ງແລະລັງກິນອາຫານທີ່ມີທັງຫມົດຂອງ HTTP "magic" ທີ່ເກີດຂຶ້ນຢູ່ຫລັງ scenes. ທັງຫມົດທີ່ GETs ແລະ POSTs ສາມາດຖືກນໍາໃຊ້ໂດຍບໍ່ມີຂໍ້ຈໍາກັດ imposed ໂດຍການໂຕ້ຕອບຜູ້ໃຊ້ທີ່ເຫັນຢູ່ໃນຕົວທ່ອງເວັບ.
ສິ່ງທີ່ຕ້ອງການຄືແນວໃດ?
ດັ່ງນັ້ນ, ພວກເຮົາເຮັດຫຍັງກໍ່ຄື hackers ເຊັ່ນ Tamper Data, ແລະເປັນຫຍັງນັກພັດທະນາໂປຼແກຼມເວັບຄວນເບິ່ງແຍງມັນ? ເຫດຜົນຕົ້ນຕໍແມ່ນວ່າມັນອະນຸຍາດໃຫ້ບຸກຄົນທີ່ຂັດແຍ້ງກັບຂໍ້ມູນທີ່ຖືກສົ່ງກັບຄືນໄປຫາລະຫວ່າງໄຄເອັນແລະເຄື່ອງແມ່ຂ່າຍ (ເພາະວ່າຊື່ Tamper Data). ເມື່ອຂໍ້ມູນ Tamper ຖືກເລີ່ມຕົ້ນແລະເວັບໄຊທ໌ຫລືເວັບໄຊຕ໌ຖືກເປີດໃນ Firefox, ຂໍ້ມູນ Tamper ຈະສະແດງໃຫ້ເຫັນທັງຫມົດຂອງຊ່ອງທີ່ອະນຸຍາດໃຫ້ເຂົ້າໃສ່ຫຼືການຈັດການຂອງຜູ້ໃຊ້. ຫຼັງຈາກນັ້ນ hacker ສາມາດປ່ຽນພາກສະຫນາມໃຫ້ເປັນ "ມູນຄ່າສະລັບກັນ" ແລະສົ່ງຂໍ້ມູນໃຫ້ກັບເຄື່ອງແມ່ຂ່າຍເພື່ອເບິ່ງວ່າມັນຈະປະຕິບັດແນວໃດ.
ເຫດຜົນນີ້ອາດເປັນອັນຕະລາຍຕໍ່ການນໍາໃຊ້
ບອກວ່າແຮກເກີຈະໄປຢ້ຽມຢາມເວັບໄຊທ ໌ຊື້ສິນຄ້າອອນໄລນ໌ ແລະເພີ່ມລາຍການໃຫ້ກັບໂຄງຮ່າງການຊື້ virtual ຂອງພວກເຂົາ. ຜູ້ພັດທະນາໂປຣແກຣມເວັບທີ່ສ້າງໂຄງຮ່າງການຊື້ເຄື່ອງອາດຈະມີໂຄ້ດໂຄງການເພື່ອຮັບເອົາມູນຄ່າຈາກຜູ້ໃຊ້ເຊັ່ນ: Quantity = "1" ແລະຈໍາກັດອົງປະກອບຂອງການໂຕ້ຕອບຜູ້ໃຊ້ໄປຍັງກ່ອງລົງທີ່ມີການຄັດເລືອກທີ່ຖືກກໍານົດໄວ້ສໍາລັບປະລິມານ.
ນັກແຮກເກີສາມາດພະຍາຍາມນໍາໃຊ້ຂໍ້ມູນ Tamper ເພື່ອຫລີກລ່ຽງຂໍ້ຈໍາກັດຂອງກ່ອງລົງທີ່ອະນຸຍາດໃຫ້ຜູ້ໃຊ້ສາມາດເລືອກຈາກຊຸດຄ່າຕ່າງໆເຊັ່ນ "1,2,3,4, ແລະ 5. ການນໍາໃຊ້ຂໍ້ມູນ Tamper, ພະຍາຍາມໃສ່ຄ່າທີ່ແຕກຕ່າງກັນວ່າ "-1" ຫຼືບາງທີ ".000001".
ຖ້າຜູ້ພັດທະນາບໍ່ໄດ້ປະຕິບັດຕາມລະບຽບຂອງການປະຕິບັດຕາມຂໍ້ກໍານົດຂອງການປະຕິບັດຕົວຈິງ, ຫຼັງຈາກນັ້ນ, ຄ່ານີ້ "-1" ຫຼື ".000001" ອາດຈະສິ້ນສຸດເຖິງຈະຖືກສົ່ງໄປຫາສູດທີ່ໃຊ້ເພື່ອຄິດໄລ່ຄ່າໃຊ້ຈ່າຍຂອງລາຍະການ (ເຊັ່ນ: ລາຄາ x ປະລິມານ). ນີ້ອາດເຮັດໃຫ້ຜົນໄດ້ຮັບທີ່ຄາດຫວັງບາງຢ່າງຂຶ້ນຢູ່ກັບການກວດສອບຄວາມຜິດພາດຫຼາຍປານໃດແລະຄວາມເຊື່ອທີ່ນັກພັດທະນາມີຢູ່ໃນຂໍ້ມູນທີ່ມາຈາກລູກຄ້າ. ຖ້າຫາກວ່າໂຄງຮ່າງການຊື້ເຄື່ອງຖືກລະຫັດບໍ່ດີ, ຫຼັງຈາກນັ້ນແຮັກເກີອາດຈະສິ້ນສຸດລົງການໄດ້ຮັບການຫຼຸດລົງທີ່ບໍ່ໄດ້ຄາດຫວັງທີ່ເປັນໄປໄດ້ທີ່ອາດຈະເປັນໄປໄດ້, ການຄືນເງິນໃນຜະລິດຕະພັນທີ່ພວກເຂົາບໍ່ໄດ້ຊື້, ສິນເຊື່ອຮ້ານ, ຫຼືຜູ້ທີ່ຮູ້ຫຍັງອີກ.
ຄວາມເປັນໄປໄດ້ຂອງການນໍາໃຊ້ຂໍ້ມູນທີ່ບໍ່ຖືກຕ້ອງໃນການນໍາໃຊ້ຂໍ້ມູນ Tamper ແມ່ນສິ້ນສຸດ. ຖ້າຂ້ອຍເປັນນັກພັດທະນາຊໍແວ, ພຽງແຕ່ຮູ້ວ່າມີເຄື່ອງມືເຊັ່ນ: ຂໍ້ມູນ Tamper ອອກຈະຊ່ວຍຂ້ອຍໃນຕອນກາງຄືນ.
ໃນດ້ານລຸ່ມ, ຂໍ້ມູນ Tamper ແມ່ນເຄື່ອງມືທີ່ດີເລີດສໍາລັບນັກພັດທະນາໂປແກຣມທີ່ມີຄວາມຮູ້ຄວາມສາມາດທີ່ຈະໃຊ້ເພື່ອໃຫ້ພວກເຂົາສາມາດເບິ່ງວ່າຄໍາຮ້ອງສະຫມັກຂອງພວກເຂົາຕອບສະຫນອງຕໍ່ການໂຈມຕີຂໍ້ມູນຂອງລູກຄ້າ.
ນັກພັດທະນາມັກຈະສ້າງການນໍາໃຊ້ກໍລະນີທີ່ຈະເນັ້ນຫນັກໃສ່ວິທີທີ່ຜູ້ໃຊ້ຈະໃຊ້ຊອບແວເພື່ອບັນລຸເປົ້າຫມາຍ. ແຕ່ຫນ້າເສຍດາຍ, ພວກເຂົາເຈົ້າມັກຈະບໍ່ສົນໃຈປັດໄຈ Guy ບໍ່ດີ. ນັກພັດທະນາແອັບພລິເຄຊັນຕ້ອງໃສ່ຫມວກຜູ້ຊາຍທີ່ບໍ່ດີແລະສ້າງບັນຫາທີ່ບໍ່ຖືກຕ້ອງເພື່ອບັນຊີຜູ້ແຮ່ທາດໂດຍໃຊ້ເຄື່ອງມືເຊັ່ນ Tamper Data.
ຂໍ້ມູນ Tamper ຄວນເປັນສ່ວນຫນຶ່ງຂອງການທົດສອບການຮັກສາຄວາມປອດໄພຂອງພວກເຂົາເພື່ອຊ່ວຍໃຫ້ແນ່ໃຈວ່າຂໍ້ມູນຂອງລູກຄ້າຖືກຢືນຢັນແລະຖືກຢືນຢັນກ່ອນທີ່ຈະອະນຸຍາດໃຫ້ສົ່ງຜົນກະທົບຕໍ່ການເຮັດທຸລະກໍາແລະຂະບວນການຂອງເຊີຟເວີ. ຖ້ານັກພັດທະນາບໍ່ໄດ້ມີບົດບາດໃນການນໍາໃຊ້ເຄື່ອງມືເຊັ່ນ: ຂໍ້ມູນ Tamper ເພື່ອເບິ່ງວ່າຄໍາຮ້ອງສະຫມັກຂອງພວກເຂົາຕອບສະຫນອງຕໍ່ການໂຈມຕີ, ພວກເຂົາຈະບໍ່ຮູ້ວ່າຈະມີຫຍັງເກີດຂຶ້ນແລະອາດຈະຈ່າຍຄ່າບໍລິການສໍາລັບໂທລະພາບ plasma 60 ນິ້ວທີ່ແຮັກເກີ ຊື້ສໍາລັບ 99 ເຊັນໂດຍນໍາໃຊ້ໂຄງຮ່າງການຊື້ຂອງເຂົາເຈົ້າຜິດປົກກະຕິ.
ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມກ່ຽວກັບ Add-on ຂໍ້ມູນ Tamper ສໍາລັບ Firefox ໄປຢ້ຽມຢາມຫນ້າ Tamper Data Firefox Add-on ຫນ້າ.