Tamper Data

El otro día encontré una muy buena utilidad para analizar la negociación HTTP de los formularios de una web. Se llama Tamper Data y es una de tantas maravillas que puedes instalar en Firefox como complemento al navegador.

Permite examinar los mensajes desde el visitante al servidor y viceversa. Y lo mas importante: permite alterar el contenido de lo que se envía al servidor web. Esto ofrece varias posibilidades, como pueden ser la depuración de código para los desarrolladores, y sobre todo (y lo que me ha atraido la atención), para analizar la seguridad de un formulario web.

Con Tamper Data puedes saltarte cualquier validación de tipos que se haga desde Javascript en el cliente, pues puedes modificar lo que finalmente se envía al servidor, facilitando las pruebas de inyección SQL, o Cross Site Scripting. Mucho más sencillo que hablar directamente con el servidor web, teniendo que manejar variables de sesión p'arriba y p'abajo.

Y es que el grave problema de seguridad de las aplicaciones web son la validación en cliente, y la inyección SQL.

Así que ya tengo una herramienta más para la colección. Otra extensión imprescindible para mi Firefox.

(gracias Carlitos)