ওয়েব অ্যাপ্লিকেশন বিকাশকারীরা প্রায়শই বিশ্বাস করেন যে বেশিরভাগ ব্যবহারকারী নিয়মগুলি অনুসরণ করতে এবং অ্যাপ্লিকেশনটি ব্যবহার করার উদ্দেশ্যে এটি ব্যবহার করছেন, কিন্তু ব্যবহারকারী কখন (বা হ্যাকার) নিয়মগুলি বদ্ধ করে? একটি ব্যবহারকারী যদি অভিনব ওয়েব ইন্টারফেস এড়িয়ে যায় এবং ব্রাউজার দ্বারা আরোপিত সীমাবদ্ধতা ছাড়া হুডের নীচে ঘুরতে শুরু করে?
ফায়ারফক্স সম্পর্কে কি?
ফায়ারফক্স সবচেয়ে প্লাগ ইন বন্ধুত্বপূর্ণ নকশা কারণে সবচেয়ে হ্যাকার জন্য পছন্দ ব্রাউজার। ফায়ারফক্সের জন্য আরও জনপ্রিয় হ্যাকার সরঞ্জামগুলির মধ্যে একটি অ্যাড-অন নামক তামার ডেটা। Tamper ডেটা একটি জটিল জটিল সরঞ্জাম নয়, এটি কেবল একটি প্রক্সি যা ব্যবহারকারী এবং ওয়েবসাইট বা ওয়েব অ্যাপ্লিকেশনটি ব্রাউজ করে তাদের মধ্যে প্রবেশ করে।
Tamper ডেটা একটি হ্যাকার পর্দার পিছনে স্থান HTTP HTTP "জাদু" সব দেখতে এবং পর্দা পর্দা ফিরে ছিদ্র করতে পারবেন। ব্রাউজারে দেখানো ব্যবহারকারীর ইন্টারফেস দ্বারা আরোপিত সীমাবদ্ধতা ব্যতীত সমস্ত GET এবং POST ব্যবহার করা যেতে পারে।
কি ভালো লেগেছে?
তাই কেন Tamper ডেটা মত হ্যাকার তাই অনেক এবং কেন ওয়েব অ্যাপ্লিকেশন ডেভেলপারদের এটা যত্ন করা উচিত? মূল কারণ হল যে এটি একজন ব্যক্তির ক্লায়েন্ট এবং সার্ভারের মধ্যে অতএব প্রেরিত ডেটা (যেমন Tamper ডেটা নাম) সহ ছদ্মবেশ করতে অনুমতি দেয়। যখন Tamper ডেটা শুরু হয় এবং ফায়ারফক্সে একটি ওয়েব অ্যাপ্লিকেশন বা ওয়েবসাইট চালু হয়, তামার ডেটা ব্যবহারকারীর ইনপুট বা ম্যানিপুলেশনকে অনুমতি দেয় এমন সমস্ত ক্ষেত্র দেখাবে। একটি হ্যাকার তারপর একটি "বিকল্প মান" একটি ক্ষেত্র পরিবর্তন করতে পারেন এবং এটি কিভাবে প্রতিক্রিয়া দেখতে সার্ভারে তথ্য পাঠাতে পারেন।
কেন এটি একটি অ্যাপ্লিকেশন বিপজ্জনক হতে পারে
একটি হ্যাকার একটি অনলাইন শপিং সাইট পরিদর্শন করছেন বলুন এবং তাদের ভার্চুয়াল শপিং কার্ট একটি আইটেম যোগ করুন। শপিং কার্ট তৈরি করে এমন ওয়েব অ্যাপ্লিকেশন বিকাশকারীটি যেমন ব্যবহারকারীর কাছ থেকে একটি মান গ্রহণ করতে কার্টকে কোড করেছে পরিমাণ = "1" এবং ইউজার ইন্টারফেস উপাদানটি পরিমাণের পূর্বনির্ধারিত নির্বাচন ধারণকারী একটি ড্রপ-ডাউন বক্সে সীমাবদ্ধ করে।
হ্যাকার ড্রপার ডাউন বক্সের সীমাবদ্ধতাগুলি বাইপাস করার জন্য Tamper ডেটা ব্যবহার করার চেষ্টা করতে পারে যা ব্যবহারকারীদের 1, 2, 3, 4, এবং 5 এর মতো মানগুলির একটি সেট থেকে নির্বাচন করতে অনুমতি দেয়। Tamper ডেটা ব্যবহার করে, হ্যাকার চেষ্টা করতে পারে "-1" অথবা সম্ভবত ".000001" এর ভিন্ন মান লিখতে।
বিকাশকারীরা যদি তাদের ইনপুট যাচাইকরণ রুটিন সঠিকভাবে কোড না করে থাকেন তবে এই "-1" বা ".000001" মানটি সম্ভবত আইটেমটির মূল্য হিসাব করার জন্য ব্যবহৃত সূত্রটিতে প্রেরণ করা যেতে পারে (উদাঃ মূল্য x পরিমাণ)। এটি কতগুলি ত্রুটি পরীক্ষা চলছে এবং ক্লায়েন্ট-সাইড থেকে আসা ডেটাতে ডেভেলপার কতটা বিশ্বাস করে তার উপর নির্ভর করে কিছু অপ্রত্যাশিত ফলাফল হতে পারে। যদি শপিং কার্টটি খারাপভাবে কোডেড হয়, তবে হ্যাকার সম্ভাব্য অসম্পূর্ণ বিশাল ছাড় পেতে পারে, কোনও পণ্যটি ফেরত দেয় না, কোনও ক্রেডিট ক্রেডিট বা অন্য কে জানে তা ফেরত দিতে পারে।
Tamper ডেটা ব্যবহার করে একটি ওয়েব অ্যাপ্লিকেশন অপব্যবহার সম্ভাবনা অবিরাম। আমি যদি সফ্টওয়্যার বিকাশকারী হতাম, কেবলমাত্র জেনে রাখা যে টেম্পার ডেটা মত সরঞ্জাম আছে সেখানে আমাকে রাতে রাখবে।
ফ্লিপ-পাশে, ট্যাম্পার ডেটা নিরাপত্তা-সচেতন অ্যাপ্লিকেশন ডেভেলপারদের ব্যবহার করার জন্য একটি দুর্দান্ত সরঞ্জাম যা তারা দেখতে পারেন যে তাদের অ্যাপ্লিকেশনগুলি ক্লায়েন্ট-পার্শ্ব ডেটা ম্যানিপুলেশন আক্রমণগুলিতে কীভাবে প্রতিক্রিয়া জানায়।
একজন ব্যবহারকারী সফটওয়্যারটি কোনও লক্ষ্য অর্জনে কীভাবে ব্যবহার করবেন তার উপর ফোকাস করার জন্য বিকাশকারীরা প্রায়শই "কেসগুলি ব্যবহার করুন" তৈরি করে। দুর্ভাগ্যবশত, তারা প্রায়ই খারাপ লোক ফ্যাক্টর উপেক্ষা। অ্যাপ ডেভেলপারদের তাদের খারাপ লোকের টুপি লাগাতে এবং Tamper ডেটা সহ সরঞ্জামগুলি ব্যবহার করে হ্যাকারদের অ্যাকাউন্টে "অপব্যবহারের মামলা" তৈরি করতে হবে।
লেনদেন এবং সার্ভার-পার্শ্ব প্রতিক্রিয়াগুলি প্রভাবিত করার অনুমতি দেওয়ার আগে ক্লায়েন্ট-পার্শ্ব ইনপুট যাচাই এবং যাচাইয়ের জন্য এটি সুরক্ষার জন্য তাদের সুরক্ষা পরীক্ষার অস্ত্রোপচারের অংশ হওয়া উচিত। ডেভেলপাররা যদি তাদের অ্যাপ্লিকেশনগুলি আক্রমণের প্রতিক্রিয়া কীভাবে দেখেন তা Tamper ডেটা ব্যবহার করে সরঞ্জামগুলি ব্যবহার করার ক্ষেত্রে সক্রিয় ভূমিকা নেয় না, তাহলে তারা কী আশা করতে পারে তা তারা জানে না এবং বিলটির জন্য 60 ডলারের বিল পরিশোধ করতে পারে "প্লাজমা টিভি যা হ্যাকার কিনেছে তাদের ত্রুটিপূর্ণ শপিং কার্ট ব্যবহার করে 99 সেন্ট জন্য।
