Una vez más, y como en el caso de Firebug, vamos a analizar una extensión de Firefox que, en principio, está pensada para el desarrollador web: Web Developer.
Esta extensión permite modificar prácticamente cualquier aspecto relacionado con la estructura, el contenido y los eventos de una página web. Para ello, podemos acudir a la integración contextual, al submenú específico en el menú de herramientas, o a la propia barra de herramientas que la extensión integra en el navegador.
Web Developer
Pero, como dije en el primer párrafo, esta extensión está pensada en principio para los desarrolladores web. En principio.
Y es que toda la capacidad de manipulación de páginas web que ofrece esta extensión, bien puede servir para comprobar ciertos fallos de seguridad típicamente relacionados con las mismas. Por poner un ejemplo simple, y en el que Web Developer se desenvuelve mejor que otras herramientas, podemos hablar del form tampering o falsificación de formularios.
Este fallo ocurre cuando el programador de una web incluye determinados parámetros en campos ocultos de un formulario HTML, con el fin de que lleguen en la petición que se desencadenará al realizar el submit. Por supuesto, y como todo código que se ejecuta en el lado del cliente, es susceptible de ser manipulado para modificar dichos parámetros.
Así, y llevado a casos extremos, con Web Developer podemos convertir un inocente formulario de compra online…
Inocente formulario
… en un garrafal fallo de seguridad, susceptible de un ataque de tipo form tampering.
Form tampering
Muchas Gracias por esta serie de POST, la verdad me están gustando mucho.
No cojes vacaciones o que¿
Sí, pillé vacaciones el viernes. De hecho, en un par de horas me marcho toda la semana a un curso. Seguramente también haga una escapada a Valencia a mediados de mes, y después ya veremos.
De todas formas, no puedo desmadrarme mucho, que quiero entregar el PFC en septiembre, y tengo mucho que escribir. Y, mientras esté en un sitio con conexión a Internet, seguiré poniendo cosillas por aquí de vez en cuando. ;)
¿Es un caso real? a mi me cuesta encontrar estas webs tan bien elaboradas…
si encuentras alguna más compartelo!
Es una página real, la puse como ejemplo en el curso… :P
ya la tengo… bueno a ver si cuela xD
Si te dicen algo, a mí no me conoces. :P
xD ya les dije que me mandaste tú xD
me devolvieron el pago de paypal.
era evidentemente solo un POF, y sólo desconte un centimo el precio final del artículo para probar si funcionaba.
Todo va perfecto hasta que te llega un correo de paypal diciendo que te han devuelto el pago por: “ERROR DE PEDIDO” xD
sed “s/POF/POC/”
cosas de no leer lo que uno escribe antes de darle a “enviar”
xD