Loading...Tamper Data est une extension Firefox capable d'intercepter les entêtes HTTP et HTTPS (sécurisé) et d'agir au niveau des requêtes GET et POST.
Exemple concret, nous allons sur le site de Free et entrons un numéro de téléphone (01 23 45 67 89) pour vérifier notre éligibilité :
Activons ensuite l'extension via le menu Outils de Firefox > Altérer les données. Précisons l'adresse "free.fr" dans le filtre, puis cliquons sur "démarrer altération" :
Cliquons sur le bouton "TESTEZ VOTRE LIGNE" pour envoyer la requête au serveur web de Free. L'extension détecte une requête, cliquons sur "Altérer" :
Une popup s'ouvre alors, vous proposant de modifier toutes les entêtes sur la partie gauche, et toutes les requêtes sur la partie droite. Modifions notre numéro de téléphone en remplaçant les deux derniers chiffres par "00" de la variable tel :
Validez par OK, et voilà la requête modifiée en plein vol 🙂
L'exemple que j'ai pris ici ne sert bien évidemment par à grand chose, son seul but est de vous montrer l'utilisation pédagogeekgique qu'il doit être fait de l'extension (l'extension ne doit pas être utilisée à des fins nocives, de piraterie, etc...).
Toujours de façon pédagogiquee, vous pouvez par exemple tout à fait intercepter votre score sur un jeu flash lors de l'envoi de celui-ci à la fin de la partie 🙂
Télécharger l'extension Tamper Data
12 commentaires
Merci pour cette découverte Xhark! Cette extension va beaucoup me servir pour tester la sécurité de mes scripts.
@Ben : ça permet effectivement d'envoyer des bizarreries pour voir si la sécurité d'un formulaire par exemple est limité au HTML/JS, ou bien s'il y a un contrôle derrière (PHP, ASP...) 😉 A ne tester que sur TES scripts bien sur 🙂
T'en fais pas, je n'essaierai pas de hacker BlogMotion 😛
Une des seules fois où j'ai été "utilisateur malveillant" j'ai fait planter mon site préféré de streaming... Du coup, c'est un peu comme si j'avais été privé de télé! Donc la leçon est retenue 😉
Je ne m'inquiète pas pour Blogmotion, avec WordPress je suis tranquille.
Ne dit-on pas qu'il ne faut jamais scier la branche sur laquelle est-on assis ? 😛
Merci, ca va me permettre de tester tous mes scripts en local avant de les mettre online
Oui j'avoue avoir été un peu bête sur le coup, mais je ne pensais pas que ça marcherait : je n'ai eu qu'à modifier l'URL avec du SQL un peu crapuleux et ça a foutu le merdier... C'est quand même bien dit et re-redit que balancer direct une requête SQL à partir d'un GET c'est la mort assurée! (Surtout que son site a pas mal de traffic - mais je ne voudrais pas le compromettre alors je m'arrêterai là)
Sur le même registre je dirais "faute avouée à demi pardonnée"...
Ne pas protéger ses requêtes en amont est de toute façon suicidaire 🙂 Il faut bien faire attention en échappant les caractères spéciaux, mettre des "WHERE 1" et des LIMIT
Les captchas sont eux aussi nés de ces histoires de requêtes facilement automatisable via cURL par exemple...
Oui à ce propos il y aurait beaucoup à dire. J'ai une lecture à te conseiller : le billet "Antispam : de la théorie à la pratique" chez http://www.miasmatech.net/index.php
Cela m'a ouvert les yeux sur cette idée "plutôt que de demander aux utilisateurs de prouver qu'ils sont humains, pourquoi ne pas faire en sorte que les robots prouvent qu'ils sont effectivement des robots?"
Par exemple, au lieu de mettre un captcha, tu mets un champ "hidden" auquel tu n'appose aucune valeur. Un robot la remplira dans 99% des cas : il suffit de vérifier dans ton script que le champ est bien vide.
Attention ce n'est qu'une des techniques à mettre en place, j'admets qu'elle n'est pas suffisante.
Cela implique plus de boulot niveau développement, mais cela apporte une meilleure expérience utilisateur. Les captchas sont tellement décourageants... A part re-captcha, que je garde dans ma boîte à outils.
@Ben : je connais le système HIDDEN depuis fort longtemps, mais ce système ne fonctionne que lorsque personne ne l'utilise... une fois l'astuce connue les robots la détourneront car la parade est automatisable et non intelligible
Intéressant et dangereux 😀 lool