Blog de Tecnología e Internet

Tamper Data – Extensión para ver y modificar cabeceras HTTP/HTTPS

Tamper Data es un extensión para el navegador web Firefox, que nos permite ver y modificar las cabeceras HTTP/HTTPS y parámetros POST, así como testear aplicaciones web modificando parámetros POST. Aunque su utilidad puede ser sencilla, las aplicaciones que se le pueden dar son tan variadas como imaginación tengamos.

Por ejemplo, el año pasado, saltó a la palestra como la Web Oficial de Orange para recargar las propias tarjetas de prepago de la compañía, era vulnerable a una modificación de parámetros con Tamper Data. Es decir, utilizando esta extensión se podían modificar los datos que se mandaban al servidor que hacia las recargas, para en lugar de hacer recargas de un mínimo de 5€, el cliente pudiera escoger la cantidad, poniendo cantidades ínfimas de 0,10 céntimos de euro.

El fallo radicaba y radica, ya que algunas otras compañías telefónicas todavía son vulnerables a este fallo, en que el valor de la recarga se validaba del lado del cliente, en el caso de Orange basta con modificar el valor “amount” poniendo la cantidad que queremos recargar.

Otro uso, que por cierto le da mucha gente a Tamper Data, es la modificación de las puntuaciones en mini-juegos tipo flash. La importancia de ello radica en que algunas webs, obsequian a sus mejores jugadores con regalos poco despreciables, como Facebook, o Tuenti. Algunas veces es tan sencillo como modificar parámetros con nombres de campo tipo “puntuación” o “score”, por el valor que nosotros queremos como puntuación en el juego en cuestión.

La cosa no queda ahí, ya que algunas webs mal programadas que validan en la parte del cliente, y no en la del servidor, permiten modificar precios de artículos en tiendas online, billetes de avión, o reservas de hoteles. Eso sí, para este tipo de modificaciones hace falta algo más que buscar la palabra “score” en Tamper Data.

El autor recuerda que Tamper Data es totalmente incompatible con Google Web Acelerator, y al usarlos simultáneamente el navegador podría dejar de funcionar, o dar problemas.

6 Comentarios

  1. Anónimo 0
    24 julio, 2011 at 0:51 #

    Kisiera aprender como modificar los escores ejemplo salen simbolos de cuadritos y dice gamescore pero de hay no se que ponber, coloco nuimeros y el juego se reinicia

  2. admin
    5 agosto, 2011 at 14:04 #

    @Anónimo_0: Puede ser que la web en la que estás intentando modificar los valores no sea vulnerable a la utilización de Tamper Data, puesto que lo normal es validad bien todos los valores en la parte del servidor y no del lado de cliente.

  3. #2
    14 noviembre, 2011 at 0:00 #

    Se puede modificar algún juego de Facebook? y si fuera así… Como?

  4. #3
    27 julio, 2012 at 10:18 #

    si wild ones es vulnerable !! es un juego de facebook, cuando t mandas regalos ( son regalos misteriosos al azar) puedes cambiar el parametro mistery por los codigos de las demas armas y simple !! tendras las mejores armas ;) !

  5. #4
    12 septiembre, 2012 at 23:39 #

    donde puedo aprender mas de esta aplicacion?

  6. #5
    27 noviembre, 2013 at 13:17 #

    Hola quiero aprender mas de esta aplicacion. Si es compatible en Chrome o no. Gracias

Deja un comentario

Soy mayor de edad, He leído y acepto totalmente el Aviso Legal y la Política de Privacidad así como que el contenido de mi comentario sea público.

Información

Aviso legal y Política de Privacidad

Contenido publicado bajo licencia Creative Commons

Licencia de Creative Commons