Инструмент для перехвата данных между Flash и PHP

Я разрабатывал некоторые API для связи между некоторыми службами PHP и ActionScript 3.

Я знаю, что существует несколько способов перехвата данных, отправляемых из Flash в PHP-скрипт, манипулирования ими, а затем продолжения отправки с измененными данными. Это, пожалуй, самый простой способ обмануть таблицы рекордов.

Очевидно, что этого нельзя избежать, но я могу сделать расшифровку трудной и нецелесообразной для большинства людей.

Я хочу знать следующее:

Какие инструменты я могу использовать для выполнения вышеуказанного (перехватывать и просматривать данные, которые я отправляю в PHP)? Я даже не знаю, как это делается, если честно. Есть ли графический интерфейс или плагин для браузера, который я могу использовать?

Цель состоит в том, чтобы наблюдать и усиливать «шифрование» данных, которые будут передаваться между ActionScript и моими службами PHP.


php man-in-the-middle actionscript
person Marty    schedule 08.11.2011    source источник
comment
@DmitryBeransky Хм, ну, на моем сайте реализован SSL, но я не знал, что вы можете использовать его в этой ситуации.   -  person Marty    schedule 08.11.2011
comment
Я предполагаю, что Flash поддерживает HTTP через SSL, не так ли?   -  person Dmitry B.    schedule 08.11.2011
comment
@DmitryBeransky Вздрогнул Ты мне скажи :P   -  person Marty    schedule 08.11.2011
comment
К сожалению, я ничего не знаю о Flash. Но это то, что я бы сделал, если бы мне пришлось писать свой собственный клиент или веб-приложение.   -  person Dmitry B.    schedule 08.11.2011
comment
С точки зрения HTTPS я даже не знаю, как это работает. Если я отправляю информацию https://mydomain.com, она автоматически шифруется?   -  person Marty    schedule 08.11.2011
comment
да. этот code.google.com/p/as3crypto может быть тем, на что вы хотите обратить внимание   -  person Dmitry B.    schedule 08.11.2011

Ответы (2)


arrow_upward
3
arrow_downward

Если вы используете Windows, проверьте Fiddler. Это очень удобный инструмент для всех, кто занимается веб-разработкой или отладкой.

Вы можете использовать его для установки точек останова в запросах и редактирования их, прежде чем отправлять их на сервер и т. д. и т. д.

Fiddler — это HTTP-прокси (а не низкоуровневый анализатор пакетов), поэтому его гораздо проще использовать, чем что-то вроде Wireshark, когда вы отслеживаете чистый HTTP-трафик.

Отредактировано для добавления: я бы постарался обеспечить, чтобы оценки и т. д. рассчитывались (или проверялись) на сервере, чтобы не было ничего полезного в манипулировании сообщениями.

person kodbuse    schedule 08.11.2011
comment
Да, я сделал кое-что, например, отправил оценку вместе с MD5 оценки (с небольшим количеством соли), а затем сравнил их на сервере. Кажется, работает довольно хорошо, но достаточно легко декомпилировать SWF и выработать соль. - person Marty; 08.11.2011

arrow_upward
0
arrow_downward

Используйте прокси-сервер TCP, например TcpCatcher или Wireshark, который позволит вам просматривать пакеты по мере их отправки и получения обеими сторонами.

Что касается «шифрования», вы не можете зашифровать достаточно, чтобы люди не «увидели» ваши данные, но вы можете сделать это сложным и бесполезным.

person Yanick Rochon    schedule 08.11.2011
comment
Да, как я уже сказал, я рад сделать это достаточно сложным, чтобы отсеять большинство скрипачей. Я могу вручную справиться с небольшим количеством из них. - person Marty; 08.11.2011