转:GoAgent 3.0.6 已发现的安全漏洞(缺陷)- 问题解答

Better GoAgent发布了几篇关于GoAgent的安全测试,美博园转载过来供使用GoAgent 的网友参考。美博园以前关于其安全性的提醒,请参考:基于GAE的GoAgent代理的安全提醒

前文参考:转: GoAgent 3.0.6 已发现的安全漏洞(缺陷)

原文摘录如下:

为了满足 “---@gmail.com” 童鞋的好奇心(美博园删除其mail),友情解答 TA 的问题,漏洞说明见 http://better-goagent.blogspot.com/。

该童鞋针对漏洞说明,提出以下“见解”:
『不要无病呻吟了,我来替作者解答一下你
1,中间人攻击问题,你可以在proxy.ini中将validate = 0设置为validate = 1 即可避免中间人攻击
2,rc4是国际公认的安全算法,而且goagent的使用方式十分合理,是你详细说出破解方法。不要说暴力破解,你有这个能力么?
3,CA.crt问题,你可以把这个文件删除,然后goagent会为你生成一个独一无二的新CA.crt。
所以你列举的问题都不是问题,请不要再无病呻吟了』

考虑到该童鞋的理解能力,简单解释一下 ~

"validate = 1" 同样不能幸免于中间人攻击。攻击例子:拥有 Equifax Secure CA签发 的证书(CN=www.googlenotajoke.com)。
使用 RC4 算法的缺陷见 https://www.dlitz.net/software/pycrypto/api/current/Crypto.Cipher.ARC4-module.html,或者 google "attack rc4"。攻击例子:《GoAgent 3.0.6 CR4 安全漏洞 攻击示例》,见 http://better-goagent.blogspot.com/。
这个等于说 "只要你把漏洞告诉我,我就能填补它" ~

网 友 留 言

2条评论 in “转:GoAgent 3.0.6 已发现的安全漏洞(缺陷)- 问题解答”
  1. a says:

    3.08快出了。。。

这里是你留言评论的地方

7 + 6 =
Copyright © 2007 - 2018 , Design by 美博园. 版权所有. 若有版权问题请留言通知本站管理员. 【回到顶部】