【问题标题】:Inspect HTTPS traffic from SWF files检查来自 SWF 文件的 HTTPS 流量
【发布时间】:2010-02-08 15:14:42
【问题描述】:

有没有办法检查来自编译为 SWF 文件的 Flex 应用程序的 HTTPS 流量?

我正在尝试为此使用 Fiddler,已将DO_NOT_TRUST_FiddlerRoot 添加到我的受信任的根证书颁发机构,因此我的 IE 现在可以访问通常会抱怨证书不受信任的其他 HTML 站点。但是,来自 SWF 文件的 HTTPS 流量仍然没有出现在 Fiddler 中,事实上,Flex 应用程序无法工作(我相信 Flex 应用程序不支持带有自签名证书的 HTTPS)。有办法解决吗?

更新:需要明确的是,我对在 Flash Player 下运行的 SWF 文件与服务器之间的流量感兴趣(通常,将使用 HTTPService 等 Flex 组件)。 SWF 文件本身可以通过 HTTP 或 HTTPS 提供,这并不重要。

说明 2:不要假设源代码可用于 SWF 文件。如果是,则可以使用 Flash Builder 4 的网络监视器。

(我正在为我的客户评估可能存在的安全风险,以明确我的意图。)

【问题讨论】:

    标签: apache-flex security https flash


    【解决方案1】:

    试试Charles Proxy,它适用于 HTTPS 和 AMF。有一个带有一些小烦恼的免费版本。要使其与 ssl 一起使用,您需要转到 Proxy->Proxy Settings->SSL 并添加您要监控的流量的域。

    ----来自评论----

    如果你有原始证书,你可以在Proxy->SSL Certificate中设置,Charles会使用它,应该不会再报错(因为proxy会有合​​适的证书)。

    【讨论】:

    • Charles 实际上看起来不像 Fiddler 强大的工具,我最终遇到了同样的问题 - SWF 文件无法正常工作(如果 HTTPS 证书不是来自受信任的机构,这是正常的)和代理无法显示任何网络流量。
    • 我不确定您的问题到底是什么,但我得到的是一条警告,上面写着“此网站的安全证书存在问题”。一旦我点击“继续访问此网站(不推荐)”。我得到了显示的所有 HTTPS 流量。您是否启用了 SSL 代理?
    • 当您尝试访问 HTML 包装器时会收到该安全警告,但我对服务器和 Flex 应用程序本身之间的流量(通过 HTTPService 等组件)相当感兴趣。在这种情况下,您不会收到浏览器警告,并且代理不会显示任何有用的信息,因为证书似乎被 Flash Player 本身拒绝了。所以查尔斯不是一个答案,不幸的是。
    • 好的,还有两个想法 - 1) 是否可以将该 swf 放在服务器上而不是独立运行? 2)你有证书吗,在那种情况下你可以在Proxy->SSL证书中设置它,它会被Charles使用,这应该不会导致更多的错误(因为代理将有正确的证书)。
    • 这是一个很好的建议,如果您将其转换为答案,我会将其标记为“该”答案。
    【解决方案2】:

    有趣的是,Fiddler 今天开始显示 HTTPS 请求。 Flex 应用程序的行为就像它无法访问服务器端一样(这可能是因为 Fiddler 的响应使用自签名证书进行签名,Flash Player 正确识别为与目标站点证书不同),但 HTTP 请求仍然存在已经发送并且可以通过 Fiddler 看到。

    此外,Robert Bak 建议 Charles Proxy 可以使用目标站点的证书,我认为这是迄今为止最好的方法(我没有尝试过,因为 Fiddler 实验已经为我们证明了足够的)。

    【讨论】:

      【解决方案3】:

      Adobe 的 Flash Builder 4 Beta 有一个内置的网络监视器。

      在此处了解更多信息:Flash Builder 4 beta

      根据文档:(Support for HTTPS protocol)

      The Network Monitor supports monitoring HTTPS calls to a server certified by a certificate 
      authority (CA) or that has a self-signed certificate.
      
      To monitor calls over the HTTPS protocol, modify the default preference for the Network Monitor
      to ignore SSL security checks. Open the Preferences dialog and navigate to Flash Builder > 
      Network Monitor.
      

      【讨论】:

      • 假设的攻击者没有源代码,因此 FB 的网络监视器不适合他。
      • @Borek - 由于您的目的是评估风险,因此您应该记住 SWF 文件可以被反编译。这将使攻击者能够访问源代码。我从来没有这样做过,但我听别人提到过几次。
      • 我们尝试了几个 SWF 混淆工具,并且知道它们能做什么/不能做什么。攻击者的另一种可能性是检查我们很难评估的流量本身 - 我仍然不确定它是否可以完成。
      猜你喜欢
      • 2014-08-29
      • 1970-01-01
      • 1970-01-01
      • 2012-08-07
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多