[Owasp-turkey] Flash - Actionscript Güvenliğimi nasıl sağlarım.

Murat Sürücü msurucu at karaelmas.edu.tr
Sat Oct 27 18:23:50 EDT 2007


Sniffer ile dinlenebilir, haklısınız, ssl bağlantıda kullanıyorum ben gerçi,
hem ssl kullanıyorsun hem de neden flashı asp ye gömüyorsun derseniz de
kaynak kodlarını en azından bu işlerden anlamayanlardan koruyor :)

 

  _____  

From: owasp-turkey-bounces at lists.owasp.org
[mailto:owasp-turkey-bounces at lists.owasp.org] On Behalf Of Ferruh Mavituna
Sent: Saturday, October 27, 2007 11:27 PM
To: Murat Sürücü
Cc: Owasp-turkey at lists.owasp.org
Subject: Re: [Owasp-turkey]Flash - Actionscript Güvenliğimi nasıl sağlarım.

 

Implemantasyonun tamamini gormek lazim sanirim ama anlttigin kadari ile
basitce herhangi bir sniffer ile o flash binary sinin bir kopyasi lokale
alinabilir ve ondan sonra de decompile edilebilir.

Ikinci olarak saldirgan flashin kodunu bilmese istek ve cevaplar uzerinde
analiz yaparak sistemi kirabilir. 

On 27/10/2007, Murat Sürücü <msurucu at karaelmas.edu.tr> wrote:

Peki benim dediğim yöntemi bilen var mı?

Ben daha önce kullandım bu yöntemi ama açığını bulamadım. Açığı varsa
kullanmayayım bende :)

 

  _____  

From: owasp-turkey-bounces at lists.owasp.org
[mailto:owasp-turkey-bounces at lists.owasp.org] On Behalf Of Çağdaş EMEK
Sent: Friday, October 26, 2007 8:09 PM
To: Owasp-turkey at lists.owasp.org


Subject: Re: [Owasp-turkey]Flash - Actionscript Güvenliğimi nasıl sağlarım.

 

Selamlar


Geçen sene flash tabanlı multiplayer oyun hazırlamıştım. Kendine özel
serverı olan ve clientlerın flash tabanlı olduğu bir oyundu. Fakat reverse
engineering ile action scriptlerin okunduğunu fark edince uygulamayı
geliştirmeyi bırakmıştım. Benim bildiğim kadarı ile ActionScript ı
saklayacak bir imkan yok. Ama okunmasını zorlaştıracak algoritmalar mevcut. 

Birde,AS3.0 da java desteği olacak diye duymuştum bir araştırmak lazım. Eğer
AS3.0 da java desteği varsa actionscript ın önemli kısımlarını java ile
yaptırırsın ve kimsede görmek için uğraşmaz.

Çağdaş EMEK
Bilgisayar Teknolojileri ve Bilişim Sistemleri
Bilkent Üniversitesi
 

 

On 10/26/07, MURAT SÜRÜCÜ <msurucu at karaelmas.edu.tr> wrote: 

Şöyle bir şey yapılabilir mi?

Kodları alınabilen, yani html tabanlı sitenize gömdüğünüz flashın içinden
php veya asp tabanlı bir sayfayı movie load ile çağırıp, php ve asp tabanlı
sayfanın içinde de esas kodlarınızın bulunduğu flashı binary olarak
yazdırırsanız hem kodlarınızı ele geçiremezler hem de istediğiniz
algoritmayı yazabilirsiniz, tabi asp veya php sayfanızın get metoduyla da
alınmasını engellemek gerekir diye düşünüyorum. 

 

From: owasp-turkey-bounces at lists.owasp.org
[mailto:owasp-turkey-bounces at lists.owasp.org] On Behalf Of Yusuf CAKIR
Sent: Friday, October 26, 2007 8:22 AM
To: Murat Topçu; owasp-turkey at lists.owasp.org
Subject: Re: [Owasp-turkey] Flash - Actionscript Güvenliğimi nasıl sağlarım.

 

Bunu gerçek anlamda sağlamanı ne yazık ki mümkün değil.

Ancak gönderdiğiniz verileri şifreleyerek ve ardından flash dosyalarındaki
action script kodlarının alınmamasını (şifrelenmesini) sağlayan yazılımlar
ile bunu çok ama çok zorlaştırmanız mümkün. 

Flash action script kodlarının alınmamasını sağlayan programları kullanarak
yaptığınız flash dosyasını inceleyen birisi şifreleme algoritmanızı
anlamayacaktır.

Eğer gerçekten bakıldığında anlaşılmayacak, denemeler sonucunda ne olduğunu
bulunamayacak bir karışık algoritma gerçekleştirirseniz karşı tarafın işini
çok ama çok zorlaştırırsınız. 

 

  _____  

From: owasp-turkey-bounces at lists.owasp.org
[mailto:owasp-turkey-bounces at lists.owasp.org] On Behalf Of Murat Topçu
Sent: Friday, October 26, 2007 12:35 AM
To: owasp-turkey at lists.owasp.org 
Subject: [Owasp-turkey] Flash - Actionscript Güvenliğimi nasıl sağlarım.

Yaptığım bir flash uygulaması ile serverda çalışan C# ile yazılmış web
servisimin güvenli bir şekilde veri alışverişinde bulunmasını istiyorum. 
Aklıma verileri şifreleyip servera göndermek yalnız sonradan farkettimki
action script kodlarını gösteren araçlardan bahsediliyor. Hal böyle olunca
şifreleme yöntemim incelenerek taklit edilebilir. Buda istenen bir durum
değil. 

Bu konuda önerilerinizi beklemekteyim. 

 


_______________________________________________
Owasp-turkey mailing list
Owasp-turkey at lists.owasp.org
https://lists.owasp.org/mailman/listinfo/owasp-turkey 

 


_______________________________________________
Owasp-turkey mailing list
Owasp-turkey at lists.owasp.org
https://lists.owasp.org/mailman/listinfo/owasp-turkey




-- 
Ferruh Mavituna
http://ferruh.mavituna.com 

-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20071028/4ca14da2/attachment.html 


More information about the Owasp-turkey mailing list