我聽說在一個很大的安全禁止檢查閃存中的硬編碼密碼,因爲用戶可以反編譯SWF並找到硬編碼的密碼。我很好奇的是,如果可以反編譯SWF,進行更改,重新編譯並插入到網頁中?Flash安全問題
例如:
說,從一個Flash應用程序中我通過當前用戶名到Web服務,並得到用戶所屬組的列表。基於這些組顯示某些內容。基本上這些步驟:
是否有可能有人更改該Flash應用程序以顯示所有內容,而不管它們屬於哪個組?例如:
爲什麼他們會更改Flash應用程序,而不是直接查詢Web服務?但是,有人可以更改Flash應用程序。
編輯:如果您正在討論正在顯示的Flash應用程序中的內容(而不是來自Web服務的內容),那麼他們還可以模擬Web服務。 SSL/TLS在這裏並沒有真正的幫助(用戶可以接受無效證書,或者加載他自己的CA)。
您可以通過加密內容並讓Web服務傳遞相關的加密密鑰來使本案件生效。當然,一旦交付密鑰,用戶就擁有它:您無法安全地撤銷訪問權限。
如何更改Flash應用程序然後在網頁中使用它?我已經看過類似的事情與HTTP代理和JavaScript,但我不知道如何可以與SWF的工作? – 2010-12-13 20:56:12
更改HTML中的鏈接?您可以通過設置自己的Web服務器或通過代理執行此操作輕鬆完成此操作。您也可以使用代理爲您的自定義.swf提供原始URL。但重要的是你不需要。您可以直接查詢Web服務。 – derobert 2010-12-16 06:57:42
我不明白什麼直接查詢Web服務會完成... – 2010-12-17 23:55:31
隨着人在這方面的中間人類型的攻擊什麼是possibe。安全地做到這一點的方法是實際從web服務獲取內容。
他們可以反編譯Flash應用程序嗎?是的,很容易。
反編譯後,他們可以刪除需要甚至聯繫服務器開始?是的,再次輕鬆。
他們基本上可以將您的Flash應用程序中性,使其顯示所有的內容,而不必煩惱從您的Web服務獲取組列表?再次輕鬆。
那你應該怎麼做?
Flash應用程序不應該嵌入其代碼中的所有內容。相反,您應該讓他們登錄並僅將部件交付給授權的瀏覽器。
我可以觀看從我的瀏覽器發出的請求並訪問所有原始數據。然後,我可以使用原始數據並根據需要做任何事情。 – zzzzBov 2010-12-14 20:05:41