[Owasp-turkey] Flash - Actionscript Güvenliğimi nasıl sağlarım.

Ferruh Mavituna ferruh at mavituna.com
Sat Oct 27 16:26:47 EDT 2007


Implemantasyonun tamamini gormek lazim sanirim ama anlttigin kadari ile
basitce herhangi bir sniffer ile o flash binary sinin bir kopyasi lokale
alinabilir ve ondan sonra de decompile edilebilir.

Ikinci olarak saldirgan flashin kodunu bilmese istek ve cevaplar uzerinde
analiz yaparak sistemi kirabilir.

On 27/10/2007, Murat Sürücü <msurucu at karaelmas.edu.tr> wrote:
>
>  Peki benim dediğim yöntemi bilen var mı?
>
> Ben daha önce kullandım bu yöntemi ama açığını bulamadım. Açığı varsa
> kullanmayayım bende :)
>
>
>  ------------------------------
>
> *From:* owasp-turkey-bounces at lists.owasp.org [mailto:
> owasp-turkey-bounces at lists.owasp.org] *On Behalf Of *Çağdaş EMEK
> *Sent:* Friday, October 26, 2007 8:09 PM
> *To:* Owasp-turkey at lists.owasp.org
> *Subject:* Re: [Owasp-turkey]Flash - Actionscript Güvenliğimi nasıl
> sağlarım.
>
>
>
> Selamlar
>
>
> Geçen sene flash tabanlı multiplayer oyun hazırlamıştım. Kendine özel
> serverı olan ve clientlerın flash tabanlı olduğu bir oyundu. Fakat reverse
> engineering ile action scriptlerin okunduğunu fark edince uygulamayı
> geliştirmeyi bırakmıştım. Benim bildiğim kadarı ile ActionScript ı
> saklayacak bir imkan yok. Ama okunmasını zorlaştıracak algoritmalar mevcut.
>
> Birde,AS3.0 da java desteği olacak diye duymuştum bir araştırmak lazım.
> Eğer AS3.0 da java desteği varsa actionscript ın önemli kısımlarını java
> ile yaptırırsın ve kimsede görmek için uğraşmaz.
>
> Çağdaş EMEK
> Bilgisayar Teknolojileri ve Bilişim Sistemleri
> Bilkent Üniversitesi
>
>
>
>
> On 10/26/07, *MURAT SÜRÜCÜ* <msurucu at karaelmas.edu.tr> wrote:
>
> Şöyle bir şey yapılabilir mi?
>
> Kodları alınabilen, yani html tabanlı sitenize gömdüğünüz flashın içinden
> php veya asp tabanlı bir sayfayı movie load ile çağırıp, php ve asp tabanlı
> sayfanın içinde de esas kodlarınızın bulunduğu flashı binary olarak
> yazdırırsanız hem kodlarınızı ele geçiremezler hem de istediğiniz
> algoritmayı yazabilirsiniz, tabi asp veya php sayfanızın get metoduyla da
> alınmasını engellemek gerekir diye düşünüyorum.
>
>
>
> *From:* owasp-turkey-bounces at lists.owasp.org [mailto:
> owasp-turkey-bounces at lists.owasp.org] *On Behalf Of *Yusuf CAKIR
> *Sent: *Friday, October 26, 2007 8:22 AM
> *To:* Murat Topçu; owasp-turkey at lists.owasp.org
> *Subject:* Re: [Owasp-turkey] Flash - Actionscript Güvenliğimi nasıl
> sağlarım.
>
>
>
> Bunu gerçek anlamda sağlamanı ne yazık ki mümkün değil.
>
> Ancak gönderdiğiniz verileri şifreleyerek ve ardından flash dosyalarındaki
> action script kodlarının alınmamasını (şifrelenmesini) sağlayan yazılımlar
> ile bunu çok ama çok zorlaştırmanız mümkün.
>
> Flash action script kodlarının alınmamasını sağlayan programları
> kullanarak yaptığınız flash dosyasını inceleyen birisi şifreleme
> algoritmanızı anlamayacaktır.
>
> Eğer gerçekten bakıldığında anlaşılmayacak, denemeler sonucunda ne
> olduğunu bulunamayacak bir karışık algoritma gerçekleştirirseniz karşı
> tarafın işini çok ama çok zorlaştırırsınız.
>
>
>  ------------------------------
>
> *From:* owasp-turkey-bounces at lists.owasp.org [mailto:
> owasp-turkey-bounces at lists.owasp.org] *On Behalf Of *Murat Topçu
> *Sent:* Friday, October 26, 2007 12:35 AM
> *To:* owasp-turkey at lists.owasp.org
> *Subject:* [Owasp-turkey] Flash - Actionscript Güvenliğimi nasıl sağlarım.
>
> Yaptığım bir flash uygulaması ile serverda çalışan C# ile yazılmış web
> servisimin güvenli bir şekilde veri alışverişinde bulunmasını istiyorum.
> Aklıma verileri şifreleyip servera göndermek yalnız sonradan farkettimki
> action script kodlarını gösteren araçlardan bahsediliyor. Hal böyle olunca
> şifreleme yöntemim incelenerek taklit edilebilir. Buda istenen bir durum
> değil.
>
> Bu konuda önerilerinizi beklemekteyim.
>
>
>
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>


-- 
Ferruh Mavituna
http://ferruh.mavituna.com
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20071027/976beef4/attachment.html 


More information about the Owasp-turkey mailing list