플래시, 매개 변수, 보안

Question

Flash에서는 특정 정보를 서버에 저장할 수 있습니다. 이제 문제는 사용자가이를 위해 관리자로 인증 받아야한다는 것입니다.

플래시 응용 프로그램에서 20 분 이상 작업하면 세션이 사라져서 세션을 사용할 수 없으므로 세션이 사용되지 않습니다.

내가 보는 방법에는 다음 두 가지 가능성이 있습니다. 1. 매개 변수 (bIsAdmin)를 웹 사이트에서 Flash로 전달합니다. 2. 세션이 아직 종료되지 않은 경우 응용 프로그램 시작시ashx 처리기에서이 값 (bIsAdmin)을 가져 오려면 http-get 요청을 시작하십시오.

내 생각에 두 가지 가능성 모두는 안전하지 않습니다 ... 그럼 어느 것이 더 안전합니까? 다른 사람이 더 좋은 아이디어가 있습니까?

2로하면, 패킷 저장자를 과 bang 사이에서 전환 할 수 있기 때문에 1이 더 안전합니다. 관리자 권한으로 저장하거나 (덮어 쓰거나 = 삭제할) 권한이 있습니다.

Answer 1

두 가지 모두 안전하지 않습니다. Flash 코드를 분석하면 모든 사용자가 blsAdmin 매개 변수를 발견하고 관리자 권한을 얻기위한 요청을 생성 해 볼 수 있습니다.

Flasm 또는 SWFDump과 같은 도구를 사용하는 모든 사용자는 플래시 응용 프로그램을 디 컴파일하고 분석 할 수 있습니다.

내 솔루션? 세션을 사용하여 관리자 권한을 저장하십시오. 세션이 20 분 내에 만료 될 경우 세션을 활성 상태로 유지하기 위해 서버의 더미 페이지에 10 분마다 요청을 생성하지만 이는 또한 나쁜 실행입니다. 관리자 인 경우 응용 프로그램 사용을 끝내면 로그 아웃하지 않고 언제든지 응용 프로그램을 그대로 둘 필요가 없습니다.

타타,