[Owasp-turkey] Flash - Actionscript Güvenliğimi nasıl sağlarım.

Ferruh Mavituna ferruh at mavituna.com
Sat Oct 27 19:22:45 EDT 2007


SSL olmasinin o noktada bir onemi yok lakin SSL sizin trafiginiz oldugunda
datayi gorebilirsiniz. Ya da daha basit bir sekilde lokal bir MITM proxy
kullanabilir ve tum gelen giden datayi gorebilirsiniz.

Ozetle flashta herseyi oldugundan daha karmasik yapip kimsenin ne
yaptigimizi cozememesini umabiliriz ama gercek bir guvenlik soz konusu
olmadigina da hep hatirlamak lazim.

On 27/10/2007, Murat Sürücü <msurucu at karaelmas.edu.tr> wrote:
>
>  Sniffer ile dinlenebilir, haklısınız, ssl bağlantıda kullanıyorum ben
> gerçi, hem ssl kullanıyorsun hem de neden flashı asp ye gömüyorsun derseniz
> de kaynak kodlarını en azından bu işlerden anlamayanlardan koruyor :)
>
>
>  ------------------------------
>
> *From:* owasp-turkey-bounces at lists.owasp.org [mailto:
> owasp-turkey-bounces at lists.owasp.org] *On Behalf Of *Ferruh Mavituna
> *Sent:* Saturday, October 27, 2007 11:27 PM
> *To:* Murat Sürücü
> *Cc:* Owasp-turkey at lists.owasp.org
> *Subject:* Re: [Owasp-turkey]Flash - Actionscript Güvenliğimi nasıl
> sağlarım.
>
>
>
> Implemantasyonun tamamini gormek lazim sanirim ama anlttigin kadari ile
> basitce herhangi bir sniffer ile o flash binary sinin bir kopyasi lokale
> alinabilir ve ondan sonra de decompile edilebilir.
>
> Ikinci olarak saldirgan flashin kodunu bilmese istek ve cevaplar uzerinde
> analiz yaparak sistemi kirabilir.
>
> On 27/10/2007, *Murat Sürücü* <msurucu at karaelmas.edu.tr> wrote:
>
> Peki benim dediğim yöntemi bilen var mı?
>
> Ben daha önce kullandım bu yöntemi ama açığını bulamadım. Açığı varsa
> kullanmayayım bende :)
>
>
>  ------------------------------
>
> *From:* owasp-turkey-bounces at lists.owasp.org [mailto:
> owasp-turkey-bounces at lists.owasp.org] *On Behalf Of *Çağdaş EMEK
> *Sent:* Friday, October 26, 2007 8:09 PM
> *To:* Owasp-turkey at lists.owasp.org
>
>
> *Subject:* Re: [Owasp-turkey]Flash - Actionscript Güvenliğimi nasıl
> sağlarım.
>
>
>
> Selamlar
>
>
> Geçen sene flash tabanlı multiplayer oyun hazırlamıştım. Kendine özel
> serverı olan ve clientlerın flash tabanlı olduğu bir oyundu. Fakat reverse
> engineering ile action scriptlerin okunduğunu fark edince uygulamayı
> geliştirmeyi bırakmıştım. Benim bildiğim kadarı ile ActionScript ı
> saklayacak bir imkan yok. Ama okunmasını zorlaştıracak algoritmalar mevcut.
>
> Birde,AS3.0 da java desteği olacak diye duymuştum bir araştırmak lazım.
> Eğer AS3.0 da java desteği varsa actionscript ın önemli kısımlarını java
> ile yaptırırsın ve kimsede görmek için uğraşmaz.
>
> Çağdaş EMEK
> Bilgisayar Teknolojileri ve Bilişim Sistemleri
> Bilkent Üniversitesi
>
>
>
>
> On 10/26/07, *MURAT SÜRÜCÜ* <msurucu at karaelmas.edu.tr> wrote:
>
> Şöyle bir şey yapılabilir mi?
>
> Kodları alınabilen, yani html tabanlı sitenize gömdüğünüz flashın içinden
> php veya asp tabanlı bir sayfayı movie load ile çağırıp, php ve asp tabanlı
> sayfanın içinde de esas kodlarınızın bulunduğu flashı binary olarak
> yazdırırsanız hem kodlarınızı ele geçiremezler hem de istediğiniz
> algoritmayı yazabilirsiniz, tabi asp veya php sayfanızın get metoduyla da
> alınmasını engellemek gerekir diye düşünüyorum.
>
>
>
> *From:* owasp-turkey-bounces at lists.owasp.org [mailto:
> owasp-turkey-bounces at lists.owasp.org] *On Behalf Of *Yusuf CAKIR
> *Sent: *Friday, October 26, 2007 8:22 AM
> *To:* Murat Topçu; owasp-turkey at lists.owasp.org
> *Subject:* Re: [Owasp-turkey] Flash - Actionscript Güvenliğimi nasıl
> sağlarım.
>
>
>
> Bunu gerçek anlamda sağlamanı ne yazık ki mümkün değil.
>
> Ancak gönderdiğiniz verileri şifreleyerek ve ardından flash dosyalarındaki
> action script kodlarının alınmamasını (şifrelenmesini) sağlayan yazılımlar
> ile bunu çok ama çok zorlaştırmanız mümkün.
>
> Flash action script kodlarının alınmamasını sağlayan programları
> kullanarak yaptığınız flash dosyasını inceleyen birisi şifreleme
> algoritmanızı anlamayacaktır.
>
> Eğer gerçekten bakıldığında anlaşılmayacak, denemeler sonucunda ne
> olduğunu bulunamayacak bir karışık algoritma gerçekleştirirseniz karşı
> tarafın işini çok ama çok zorlaştırırsınız.
>
>
>  ------------------------------
>
> *From:* owasp-turkey-bounces at lists.owasp.org [mailto:
> owasp-turkey-bounces at lists.owasp.org] *On Behalf Of *Murat Topçu
> *Sent:* Friday, October 26, 2007 12:35 AM
> *To:* owasp-turkey at lists.owasp.org
> *Subject:* [Owasp-turkey] Flash - Actionscript Güvenliğimi nasıl sağlarım.
>
> Yaptığım bir flash uygulaması ile serverda çalışan C# ile yazılmış web
> servisimin güvenli bir şekilde veri alışverişinde bulunmasını istiyorum.
> Aklıma verileri şifreleyip servera göndermek yalnız sonradan farkettimki
> action script kodlarını gösteren araçlardan bahsediliyor. Hal böyle olunca
> şifreleme yöntemim incelenerek taklit edilebilir. Buda istenen bir durum
> değil.
>
> Bu konuda önerilerinizi beklemekteyim.
>
>
>
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>
>
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>
>
>
> --
> Ferruh Mavituna
> http://ferruh.mavituna.com
>



-- 
Ferruh Mavituna
http://ferruh.mavituna.com
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20071028/fbdf949f/attachment-0001.html 


More information about the Owasp-turkey mailing list