Mit dem Firefox-Addon Tamper Data ist es möglich, die live im Browser abgeschickten HTTP-Header-Informationen und POST-Parameter abzufangen. Das Addon fängt den Request mit den zu übertragenden Informationen ab, so dass der Benutzer die Möglichkeit hat, sie erst zu verändern und dann erst abzuschicken. Das Addon ist für Webentwickler eine tolle Sache, um die Sicherheit der eigenen Webseiten und/oder Anwendungen auf Sicherheitslücken durch Client-Manipulationen in HTTP-Header-Feldern zu testen.
Download und Installation von Tamper Data
Tamper Data kann auf der offiziellen Mozilla-Seite heruntergeladen werden. Nach der Installation des Addons muss man ggf. noch einen Neustart von Firefox machen. Wenn das Addon installiert ist, kann man es über das Extras-Menü aufrufen, indem man einmal auf die ALT-Taste drückt und dann unter Extras die Option Tamper Data auswählt. Nun öffnet sich Tamper Data in einem neuen Fenster, in dem alle HTTP-Requests aufgezeichnet werden.
Zum Starten klickt ihr einfach in der Menüleiste auf Tamper beginnen, und schon werden alle HTTP-Header-Informationen abgefangen, bevor sie abgeschickt werden. Erkennt Tamper Data einen neuen Request, so taucht eine Meldung auf, in der ihr auswählen könnt, ob ihr die Informationen bearbeiten, direkt abschicken oder den Request komplett abbrechen wollt. Möchtet ihr die abgefangenen Informationen bearbeiten, so klickt ihr einfach auf Tamper.
Im darauf geöffneten Fenster habt ihr dann in der linken Spalte die HTTP-Header-Informationen und in der rechten Spalte die POST-Parameter, die ihr nach Belieben verändern und bearbeiten könnt. Wenn ihr damit fertig seid, könnt ihr den abgefangenen Request nun abschicken, indem ihr einfach auf OK klickt.
Praktisches Anwendungsbeispiel
Für diejenigen, die sich fragen, was das Ganze eigentlich bringen soll, habe ich ein simples Beispiel mit einem Flashgame. Nehmen wir an, ihr spielt gerade ein Flashgame, bei dem ihr euch am Ende in die Highscore-Liste eintragen könnt. Ihr habt aber nur sehr wenige Punkte erzielt, um ganz nach oben zu rutschen. Hier ist der Punkt, wo man Tamper Data ansetzten kann. Wenn der aktuelle Punktestand per POST-Parameter an den Server übergeben wird, so könnt ihr diesen mit Tamper Data abfangen und nach dem Parameter suchen, der die Punktezahl enthält. Wenn ihr die Stelle gefunden habt, könnt ihr euch somit 1 Millionen Punkte "gutschreiben" und ihr landet in der Highscore-Liste an erster Stelle.
Das Ganze funktioniert natürlich nur dann, wenn die Punktezahl per POST (oder GET) übergeben wird und es intern auf Serverseite keine weiteren Überprüfungen des Punktestands mehr gibt.
Fazit
Ein super Addon, um Header-Informationen aus den live abgeschickten HTTP-Requests abzufangen und zu ändern. Tamper Data hat sich auf jeden Fall 5 Sterne verdient, da es damit sehr einfach ist, solche Operationen durchzuführen. Das Addon wird meinen Informationen zufolge auch von IT-Sicherheitsspezialisten und Penetrationstestern verwendet.
