Pengembang aplikasi web sering percaya bahwa sebagian besar pengguna akan mengikuti aturan dan menggunakan aplikasi seperti yang dimaksudkan untuk digunakan, tetapi bagaimana jika pengguna (atau peretas ) menekuk aturan? Bagaimana jika seorang pengguna melewati antarmuka web yang mewah dan mulai bermain-main di bawah kap tanpa batasan yang dikenakan oleh browser?
Bagaimana dengan Firefox?
Firefox adalah browser pilihan untuk sebagian besar peretas karena desainnya yang ramah plug-in. Salah satu alat peretas yang lebih populer untuk Firefox adalah add-on yang disebut Tamper Data. Tamper Data bukanlah alat yang super rumit, itu hanya proxy yang menyisipkan sendiri di antara pengguna dan situs web atau aplikasi web yang mereka telusuri.
Tamper Data memungkinkan seorang hacker untuk mengupas kembali tirai untuk melihat dan mengacaukan semua "keajaiban" HTTP yang terjadi di belakang layar. Semua GET dan POST dapat dimanipulasi tanpa batasan yang dikenakan oleh antarmuka pengguna yang terlihat di browser.
Apa yang harus disukai?
Jadi mengapa peretas seperti Tamper Data begitu banyak dan mengapa pengembang aplikasi web peduli tentang hal itu? Alasan utamanya adalah bahwa hal itu memungkinkan seseorang untuk mengutak-atik data yang dikirim bolak-balik antara klien dan server (maka nama Tamper Data). Ketika Tamper Data dimulai dan aplikasi web atau situs web diluncurkan di Firefox, Tamper Data akan menampilkan semua bidang yang memungkinkan input atau manipulasi pengguna. Seorang peretas kemudian dapat mengubah bidang ke "nilai alternatif" dan mengirim data ke server untuk melihat bagaimana reaksinya.
Mengapa Ini Mungkin Berbahaya bagi Aplikasi
Katakanlah peretas sedang mengunjungi situs belanja online dan menambahkan item ke keranjang belanja virtual mereka. Pengembang aplikasi web yang membangun keranjang belanja mungkin telah mengkodekan keranjang untuk menerima nilai dari pengguna seperti Kuantitas = "1" dan membatasi elemen antarmuka pengguna ke kotak drop-down yang berisi pilihan yang telah ditentukan untuk kuantitas.
Seorang peretas dapat mencoba menggunakan Tamper Data untuk melewati pembatasan kotak drop-down yang hanya memungkinkan pengguna untuk memilih dari serangkaian nilai seperti "1,2,3,4, dan 5. Menggunakan Data Tamper, peretas bisa cobalah untuk memasukkan nilai yang berbeda dengan mengatakan "-1" atau mungkin ".000001".
Jika pengembang tidak memasukkan rutin validasi masukan mereka dengan benar, maka nilai "-1" atau ".000001" ini mungkin dapat berakhir dengan rumus yang digunakan untuk menghitung biaya item (yaitu Kuantitas x Harga). Hal ini dapat menyebabkan beberapa hasil yang tidak terduga tergantung pada seberapa banyak pengecekan kesalahan yang terjadi dan seberapa besar kepercayaan yang dimiliki pengembang terhadap data yang berasal dari sisi-klien. Jika keranjang belanja dikodekan dengan buruk, peretas mungkin akan mendapatkan diskon besar yang tidak diinginkan, pengembalian dana untuk produk yang tidak mereka beli, kredit toko, atau siapa yang tahu apa lagi.
Kemungkinan penyalahgunaan aplikasi web menggunakan Tamper Data tidak terbatas. Jika saya seorang pengembang perangkat lunak, hanya mengetahui bahwa ada alat seperti Tamper Data di luar sana yang akan membuat saya terjaga di malam hari.
Di sisi lain, Tamper Data adalah alat yang sangat baik untuk pengembang aplikasi yang sadar keamanan untuk digunakan sehingga mereka dapat melihat bagaimana aplikasi mereka merespons serangan manipulasi data sisi-klien.
Pengembang sering membuat Use Cases untuk berfokus pada bagaimana pengguna akan menggunakan perangkat lunak untuk mencapai tujuan. Sayangnya, mereka sering mengabaikan faktor penjahat. Pengembang aplikasi harus mengenakan topi orang jahat dan membuat Kasus Penyalahgunaan untuk memperhitungkan peretas menggunakan alat seperti Tamper Data.
Tamper Data harus menjadi bagian dari gudang uji keamanan mereka untuk membantu memastikan bahwa input sisi klien divalidasi dan diverifikasi sebelum diizinkan untuk mempengaruhi transaksi dan proses sisi server. Jika pengembang tidak mengambil peran aktif dalam menggunakan alat seperti Tamper Data untuk melihat bagaimana aplikasi mereka merespons serangan, maka mereka tidak akan tahu apa yang diharapkan dan akhirnya dapat membayar tagihan untuk TV plasma 60 inci bahwa peretas hanya dibeli seharga 99 sen menggunakan keranjang belanja mereka yang rusak.
Untuk informasi lebih lanjut tentang Tamper Data Add-on untuk Firefox, kunjungi Halaman Add-on Firefox Data Tamper.