Tamper Data – Extensión para ver y modificar cabeceras HTTP/HTTPS

Publicado por Arthusu en 11:32 sábado, 25 de febrero de 2012

Tamper Data es un extensión para el navegador web Firefox, que nos permite ver y modificar las cabeceras HTTP/HTTPS y parámetros POST, así como testear aplicaciones web modificando parámetros POST. Aunque su utilidad puede ser sencilla, las aplicaciones que se le pueden dar son tan variadas como imaginación tengamos.
Por ejemplo, el año pasado, saltó a la palestra como la Web Oficial de Orange para recargar las propias tarjetas de prepago de la compañía, era vulnerable a una modificación de parámetros con Tamper Data. Es decir, utilizando esta extensión se podían modificar los datos que se mandaban al servidor que hacia las recargas, para en lugar de hacer recargas de un mínimo de 5€, el cliente pudiera escoger la cantidad, poniendo cantidades ínfimas de 0,10 céntimos de euro.
El fallo radicaba y radica, ya que algunas otras compañías telefónicas todavía son vulnerables a este fallo, en que el valor de la recarga se validaba del lado del cliente, en el caso de Orange basta con modificar el valor “amount” poniendo la cantidad que queremos recargar.
Otro uso, que por cierto le da mucha gente a Tamper Data, es la modificación de las puntuaciones en mini-juegos tipo flash. La importancia de ello radica en que algunas webs, obsequian a sus mejores jugadores con regalos poco despreciables, como Facebook, o Tuenti. Algunas veces es tan sencillo como modificar parámetros con nombres de campo tipo “puntuación” o “score”, por el valor que nosotros queremos como puntuación en el juego en cuestión.
La cosa no queda ahí, ya que algunas webs mal programadas que validan en la parte del cliente, y no en la del servidor, permiten modificar precios de artículos en tiendas online, billetes de avión, o reservas de hoteles. Eso sí, para este tipo de modificaciones hace falta algo más que buscar la palabra “score” en Tamper Data.
El autor recuerda que Tamper Data es totalmente incompatible con Google Web Acelerator, y al usarlos simultáneamente el navegador podría dejar de funcionar, o dar problemas.
Etiquetas: , ,

0 comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)