대전제:
Flex는 결국 SWF로 컴파일된다는 것을 잊지 말자.
따라서:
1. Flash 취약점 진단에 쓰던 방법론과 툴을 재적용할 수 있을 것이다.
2. 기존에 MIPlatform과 같은 X-Internet 솔루션 진단 때의 approach 를 재적용할 수 있을 것이다.
접근법:
1. Flash audit tool : SWFScan - http://www.hp.com/go/swfscan
2. Decompile : Flash Decompiler
3. Server side [Java/PHP, etc] interaction (MXML)
4. crossdomain.xml problem
5. LSO problem
6. JavaScript problem
7. XML transfer problem
8. Traditional web hacking technique :
Burp Suite + Charles Proxy, Etc (It's cheap, USD $50) - http://www.charlesproxy.com/purchase.php
9. Security Patch
10. +Source Audit (Eclipse)
참고:
1. 위키피디아 - http://ko.wikipedia.org/wiki/%EC%96%B4%EB%8F%84%EB%B9%84_%ED%94%8C%EB%A0%89%EC%8A%A4
2. 블랙햇 2008 USA 발표 자료 - https://www.blackhat.com/presentations/bh-usa-08/Carlson_Stadmeyer/BlackHat-Flex-Carlson_Stadmeyer_vSubmit1.pdf
3. 블랙햇 2008 USA 동영상 - http://www.securitytube.net/Auditing-Flex-AMF3-and-BlazeDS-based-RIAs-(Blackhat-2008)-video.aspx
4. Ajax Tools - http://ajaxpatterns.org/Ajax_Tools (다양한 도구 소개)
---888---추가---888---
BlazeDS, AMF3 역시 중요!
그나저나, 네이버 Flex4U 까페 동영상 강좌 너무 좋다. ㅋㅋ... 역시 공부엔 동영상이 짱인 듯~
아쉽게도 해킹은 동영상으로 강좌 올리기 어려운 현실~ T_T
---888---추가---888---
http://www.owasp.org/index.php/Category:OWASP_Flash_Security_Project
http://flasm.sourceforge.net/#protect
이글루스 가든 - professional secur...
Flex는 결국 SWF로 컴파일된다는 것을 잊지 말자.
따라서:
1. Flash 취약점 진단에 쓰던 방법론과 툴을 재적용할 수 있을 것이다.
2. 기존에 MIPlatform과 같은 X-Internet 솔루션 진단 때의 approach 를 재적용할 수 있을 것이다.
접근법:
1. Flash audit tool : SWFScan - http://www.hp.com/go/swfscan
2. Decompile : Flash Decompiler
3. Server side [Java/PHP, etc] interaction (MXML)
4. crossdomain.xml problem
5. LSO problem
6. JavaScript problem
7. XML transfer problem
8. Traditional web hacking technique :
Burp Suite + Charles Proxy, Etc (It's cheap, USD $50) - http://www.charlesproxy.com/purchase.php
9. Security Patch
10. +Source Audit (Eclipse)
참고:
1. 위키피디아 - http://ko.wikipedia.org/wiki/%EC%96%B4%EB%8F%84%EB%B9%84_%ED%94%8C%EB%A0%89%EC%8A%A4
2. 블랙햇 2008 USA 발표 자료 - https://www.blackhat.com/presentations/bh-usa-08/Carlson_Stadmeyer/BlackHat-Flex-Carlson_Stadmeyer_vSubmit1.pdf
3. 블랙햇 2008 USA 동영상 - http://www.securitytube.net/Auditing-Flex-AMF3-and-BlazeDS-based-RIAs-(Blackhat-2008)-video.aspx
4. Ajax Tools - http://ajaxpatterns.org/Ajax_Tools (다양한 도구 소개)
---888---추가---888---
BlazeDS, AMF3 역시 중요!
그나저나, 네이버 Flex4U 까페 동영상 강좌 너무 좋다. ㅋㅋ... 역시 공부엔 동영상이 짱인 듯~
아쉽게도 해킹은 동영상으로 강좌 올리기 어려운 현실~ T_T
---888---추가---888---
http://www.owasp.org/index.php/Category:OWASP_Flash_Security_Project
http://flasm.sourceforge.net/#protect
이글루스 가든 - professional secur...
덧글
임동현 2009/05/15 13:03 # 삭제 답글
안녕하세요.보안 업무를 하고 있는 임동현 이라고 합니다.
많은 분들이 그렇겠지만 님의 블로그 자주 애독하고 있네요..^^;
다름이 아니라 최근 웹 사이트에서 플래쉬와 아작스 보안 점검 방법론에 대해 가이드를 작성하게 되었는데, 혹시 추천해 주실 자료가 있으실까 해서 문의 드리네요. 검색해서 이것저것 문서를 보기 했는데 아무래도 전문적으로 직접 진단도 해 보신것 같아서..
그럼 수고 하세요..
헐랭이 2009/05/16 22:43 #
글쎄요, 이미 여러 자료를 찾아보신 것 같아서... 뭐라 말씀을 드려야 할지... 저도 그냥 프로젝트 단위로 구글링해서 찾아서 정리해보고, 시행착오를 통해 고치고 하는 수준이라...
임동현 2009/05/20 09:08 # 삭제 답글
네.. 그러시군요.. 답변 감사합니다. 좋은 하루 되세요..