ویب ایپلی کیشنز کے ڈویلپرز اکثر اس بات کا یقین کرتے ہیں کہ زیادہ تر صارفین قوانین کی پیروی کرتے ہیں اور ایک ایسی درخواست استعمال کرتے ہیں جیسا کہ اس کا استعمال کیا جاتا ہے، لیکن جب صارف (یا ہیکر ) قواعد و ضوابط کو کس طرح پیش کرتا ہے؟ کیا ہو گا اگر صارف فینسی ویب انٹرفیس کو ہٹاتا ہے اور براؤزر کی طرف سے عائد کردہ رکاوٹوں کے بغیر ہڈ کے نیچے گھومنے لگتا ہے؟
فائر فاکس کے بارے میں کیا
فائر فاکس اس پلگ ان کے دوستانہ ڈیزائن کی وجہ سے زیادہ تر ہیکرز کیلئے براؤزر کا انتخاب ہے. فاکس فاکس کے لئے مقبول مقبول ہیکر ٹولز میں سے ایک ایک اضافی طے شدہ ڈیٹا کہا جاتا ہے. ڈیٹا کو طے کرنا ایک انتہائی پیچیدہ آلہ نہیں ہے، یہ صرف ایک پراکسی ہے جو صارف اور ویب سائٹ یا ویب ایپلی کیشنز کے درمیان خود کو داخل کرتا ہے جو براؤزنگ کر رہے ہیں.
ڈیٹا کو روکنے کی اجازت دیتا ہے کہ ہیکر پردے کے پیچھے ہونے والی تمام HTTP "جادو" کے ساتھ پردے کو دیکھنے اور پریشان کرنے کی اجازت دے. ان تمام GET اور POSTs براؤزر میں دیکھا صارف انٹرفیس کی طرف سے عائد رکاوٹوں کے بغیر جوڑی جا سکتا ہے.
کیا پسند ہے؟
تو ہیکرز کیوں ڈیٹا کو بہت زیادہ پسند کرتے ہیں اور ویب ایپلی کیشنز ڈویلپرز کو اس کے بارے میں کیوں خیال رکھنا چاہئے؟ بنیادی وجہ یہ ہے کہ یہ ایک شخص کو کلائنٹ اور سرور کے درمیان بھیج دیا جا رہا ہے اعداد و شمار کے ساتھ چھیڑنا کرنے کی اجازت دیتا ہے (اس وجہ سے نام طے شدہ ڈیٹا). جب ڈیٹا کو طے کرنا شروع ہوتا ہے اور فائر فاکس میں ایک ویب اپلی کیشن یا ویب سائٹ شروع کی گئی ہے تو، طے شدہ ڈیٹا صارف کے ان پٹ یا ہیریپولیٹ کے تمام شعبوں کو دکھائے گا. ایک ہیکر پھر "متبادل قیمت" میں میدان تبدیل کرسکتا ہے اور اعداد و شمار کو سرور کو بھیج سکتا ہے کہ یہ کس طرح رد عمل کرے.
یہ درخواست کیوں خطرناک ہو سکتا ہے
ہیکر کہو آن لائن شاپنگ سائٹ کا دورہ کر رہا ہے اور ان کی مجازی شاپنگ کی ٹوکری میں اشیاء شامل کرتی ہے. ویب ایپلی کیشن ڈویلپر نے جو خریداری کی ٹوکری کی تعمیر کی ہے وہ صارف کی جانب سے قدر = "1" کی قدر سے قدر کو قبول کرنے کے لئے کارٹ کو کوڈت کر سکتا ہے اور مقدار کے لئے پہلے سے مقرر کردہ انتخاب پر مشتمل ڈراپ ڈاؤن باکس میں صارف انٹرفیس عنصر محدود ہے.
ہیکر کو ڈراپ ڈاؤن باکس کے پابندیوں کو بائی پاس کرنے کے لئے طے شدہ ڈیٹا کا استعمال کرنے کی کوشش کر سکتی ہے، جس کو صارفین کو صرف اقدار کے اقدار جیسے "1،2،3،4، اور 5" کے طور پر منتخب کرنے کی اجازت دیتی ہے. "-1" یا شاید ".000001" کا ایک مختلف قدر درج کرنے کی کوشش کریں.
اگر ڈویلپر نے ان کے ان پٹ کی توثیق کے معمول کو درست طریقے سے کوڈت نہیں دیا ہے تو، اس "-1" یا ".000001" قیمت کی قیمت کو ممکنہ طور پر ختم کرنے کے لئے استعمال کیا جاتا ہے فارمولے کو منتقل کرنے کے لئے استعمال کیا جا سکتا ہے (قیمت ایکس مقدار). اس کے نتیجے میں کچھ غیر متوقع نتائج بنائے جاسکتے ہیں کہ کس طرح کی غلطی کی جانچ پڑتال کی جا رہی ہے اور کلائنٹ کی طرف سے آنے والی ڈیٹا میں ڈویلپر کا کتنا اعتماد ہے. اگر خریداری کی ٹوکری خرابی سے کوڈت ہے، تو ہیکر ممکنہ غیر معمولی بڑی رعایت، ایک مصنوعات پر رقم کی واپسی، جو ان کی خریداری بھی نہیں، ایک اسٹور کریڈٹ، یا جو کچھ بھی جانتا ہے حاصل کر سکتا ہے.
طے شدہ ڈیٹا کا استعمال کرتے ہوئے ویب ایپلی کیشن کے غلط استعمال کی لامحدود ہیں. اگر میں سافٹ ویئر ڈویلپر تھا تو، صرف یہ جانتا ہوں کہ ڈیٹا کو طے کرنے کی طرح ایسے اوزار ہیں جو مجھے رات میں رکھیں گے.
فلپ سائڈ پر، طے شدہ اعداد و شمار سیکیورٹی شعور ایپلی کیشنز کے ڈویلپرز کو استعمال کرنے کے لئے ایک بہترین آلے ہے لہذا وہ دیکھ سکتے ہیں کہ کس طرح ان کے ایپلی کیشن کلائنٹ سائڈ ڈیٹا ہیراپولیشن حملوں کے جواب میں جواب دیتے ہیں.
ڈویلپرز اکثر صارفین کے سافٹ ویئر کو ایک مقصد کو پورا کرنے کے لئے کس طرح استعمال کریں گے پر توجہ مرکوز کرنے کے لئے استعمال کے مقدمات پیدا. بدقسمتی سے، وہ اکثر خراب آدمی عنصر کو نظر انداز کرتے ہیں. اپلی کیشن ڈویلپرز کو ان کے برا آدمی ٹوپیاں ڈالنے کی ضرورت ہے اور ہیکر ڈیٹا کے طور پر ٹولپر ڈیٹا کا استعمال کرتے ہوئے ہیکرز کے اکاؤنٹ میں غلط استعمال کی صورت حال بنانا ہے.
ڈیٹا کو طے کرنا ان کے سیکیورٹی ٹیسٹنگ ہتھیار کا حصہ بننا چاہئے تاکہ اس بات کو یقینی بنانے میں کلائنٹ کی طرف ان پٹ کو تصدیق اور تصدیق کی جائے اس سے پہلے کہ وہ ٹرانزیکشنز اور سرور سائڈ کے عمل کو متاثر کرنے کی اجازت دی جائے. اگر ڈویلپرز آلات کو استعمال کرتے ہوئے استعمال کرنے میں فعال کردار نہیں لیتے ہیں تو یہ دیکھنے کے لئے کہ ان کے ایپلی کیشنوں پر حملہ کرنے کا جواب کس طرح ہوتا ہے، پھر وہ نہیں جانیں گے کہ کیا امید ہے اور 60 انچ پلازما ٹی وی کے لئے بل ادا کرنا ہو سکتا ہے. اپنی عیب دار خریداری کی ٹوکری کا استعمال کرتے ہوئے 99 سینٹ کے لئے خریدا.
فائر فاکس کے لئے طرپر ڈیٹا اضافی معلومات کے بارے میں مزید معلومات کے لئے طے شدہ ڈیٹا فائر فاکس اضافی صفحہ ملاحظہ کریں.