Безопасность FLASH сайтов

[b1t]

Меня утверждают, что флэш сайты почти не преступны. И чтоб взломать - надо или подобрать пароль к админке или к FTP.
можете комментировать по этому поводу?
на сколько реально взломать флэш сайты, какие способы могут быть и т.д.

 

[mindcrash]

есть флэш сайты которые работают с динамическими данными через все тот же http
[flash app] <-> PHP <-> MySQL
http://livedocs.adobe.com/flex/2/langref/m...TTPService.html
слушать трафик, искать скулы ошибки программиста humbsup:

 

[lisa99]

слушать трафик, искать скулы

вообще то он о собственной шкурке переживал xD
(сделал ф-сайт по мех.изделиям)

скулы на флеш-сайтах? да ладно...))
в лучшем случае все юзают xml подкачку данных
скрипты - при обработке контактных форм, да и все..

 

[mindcrash]

скулы на флеш-сайтах? да ладно...))

я говорю о простом get /index.php?var1=a&var2=b, который в некоторых случаях просто удобнее чем отправлять xml запрос аля апи..
от того, мне кажется, что пользователь, не видит запроса, люди иногда игнорируют фильтрацию :rip2:

пс

вообще то он о собственной шкурке переживал xD
(сделал ф-сайт по мех.изделиям)

хы

 

[lisa99]

я говорю о простом get /index.php?var1=a&var2=b, который в некоторых случаях просто удобнее чем отправлять xml запрос аля апи

а я о своем опыте создания сайтов. наш герой банально спер (я почти уверена) готовый шаб, а там в AS2-3 идет подгрузка xml
причем образец приводится. и "вебмастера" просто перебивают данные на свои.

и-вуаля - шедевр налицо))

то бишь...там нет таких запросов
get /index.php?var1=a&var2=b

ну, по крайней мере лично я не видела, хотя потрошила сотни..и сотни флеш-сайтов.
правда, есть 5-6 как-то там существующих flash CMS, я в них не копалась,
и тем не менее вряд ли и там используется бд

основное назначение большинства флеш-сайтов все же визитки, ну витрины..

вот смотри, из моей коллекциии
http://www.plaisirdufeu.lu/

каталог каминов и др.
страшно подумать сколько к евро он стоил)



Добавлено в [time]1272530038[/time]

слушать трафик, искать скулы ошибки программиста

 

[mindcrash]

мне приходилось писать апп, который работает с flash media server и mysql.
как раз слать гет запросы

 

[lisa99]

flash media server и mysql

ну да))
Да, медиа-сервисы с флешем+cgi+php+mysql -это отдельная песня.
Но и уровень другой, а не просто сайт-визитка как у ТС
Спасибо, поправил-напомнил (все мечталось один такой слить)

 

[b1t]

mindcrash
мой ресурс на hml_е сделано.. да и если сделать на mysql (мне предлогали), то как можно подобрать иньекцию, ведь GET/POST запроса прямой не обрашается..

lisa99
А это уже не ваше дело за что или за кого переживал.

Переживают родители, а я наказываю, жестоко наказываю. ©яйцы судьбы

так что если есть что то сказать по теме - говорите, ибо не надо тут обсуждать свои догадки.

вот смотри, из моей коллекциии
http://www.plaisirdufeu.lu/

каталог каминов и др.
страшно подумать сколько к евро он стоил)

и на надо в моем теме рекламировать ваши коллекци.

 

[mindcrash]

мой ресурс на hml_е сделано.. да и если сделать на mysql (мне предлогали), то как можно подобрать иньекцию, ведь GET/POST запроса прямой не обрашается..

ну если контент подгружается через запрос флеш апа - берем какой-нибудь wireshark и смотрим запросы через протокол http.

 

[b1t]

mindcrash
вот это уже нравится мне )) и как это делать?

перехватить мой 80 порт и смотреть что передается чтоли?
подробнее, если можно.

 

[mindcrash]

Wireshark download

Запускаешь, цепляешься к девайсу (eth,wireless) через который идет и-нет трафик, ставишь фильтр HTTP и смотришь куда и с чем стучит браузер, какой ответ приходит из сети.

Потом есессно можешь сам делать левые запросы CURL'ом или же просто в браузере писать.

YouTube B)

 

[DASM32]

Кстати на мой взгляд легче и удобнее будет HttpAnalyzer-ом. Он как раз под это и заточен, построитель запросов внутри есть, мини-браузер тоже, фильтры, просмотр запросов по категориям - параметры, куки, чистый запрос, запрос в hex-виде. Обрабатывает сжатие и кодировки
(вот черт, а так не хотелось чтоб было на рекламу похоже. просто "всяк кулик свое болто хвалит")
Скачать - тут на форуме было, или нагугли "http analyzer full". Если не найдешь - залью куданибудь свой.

 

[b1t]

mindcrash
DASM32

Это все хорошо, но реально ли что то делать с помощью "переделки" запросов? там же нет SQL, чтоб организовать иньексии, ну или XSS запросы..

 

[DASM32]

b1t
Например можно попробовать получить доступ к "неположенным" данным. Обратные пути те же, чтение произвольных файлов(просто предполагаю, да и откуда уверенность что SQL/JS не юзается? что имелось ввиду под "hml_е")
Смотря что должно делаться при обработке "нормальных" запросов.

 

[b1t]

DASM32

Ок.
делаем так. сайт можно сказать мой. знаю содержимое. допустим хочу получить "служебные" данные, т.е. бекапы и т.п. материалы.
как это оформить с помощью HttpAnalyzer ?
т.е. хочу провески маленький "пентест" :P мне самому интересно слабые места флэш сайта.
сайт не использует никаких SQL/JS. все сделано на HML.

 

[DASM32]

b1t
Тебе не ясно как проводить пентест или как использовать для этого HttpAnalyzer?
И HML = HTML?

 

[mindcrash]

Кстати на мой взгляд легче и удобнее будет HttpAnalyzer-ом

платный и виндовый

сайт не использует никаких SQL/JS. все сделано на HТML.

мы тут просто ушли в более сложные проекты :crazy:

а у тебя в реале в хтмл код встраивается готовый флэш апплет и все. если он во время своей работы не обменивается данными с сервером, то http снифать абсолютно бессмысленно.

 

[b1t]

DASM32

ебе не ясно как проводить пентест или как использовать для этого HttpAnalyzer?

да в принципе и то и другое
Умею перехватить запрос (то есть смотреть что тередается (GET)и что принимается), но дальше не знаю .

mindcrash

че то не понял.. получается бесмысленно мне щас снифить?

 

[mindcrash]

тебе в данном случае можно например посмотреть хтмл код, посмотреть может какие-то пути раскрываются и можно прочитать какие-нить файлы (непрописанный .htaccess)

 

[b1t]

mindcrash

и каким образом? давайте попробуем. может и больше получиться