轉：GoAgent 3.0.6 已發現的安全漏洞（缺陷）- 問題解答

Better GoAgent發布了幾篇關於GoAgent的安全測試，美博園轉載過來供使用GoAgent 的網友參考。美博園以前關於其安全性的提醒，請參考：基於GAE的GoAgent代理的安全提醒

前文參考：轉： GoAgent 3.0.6 已發現的安全漏洞（缺陷）

原文摘錄如下：

為了滿足 ｢---@gmail.com｣ 童鞋的好奇心（美博園刪除其mail），友情解答 TA 的問題，漏洞說明見 https://better-goagent.blogspot.com/。

該童鞋針對漏洞說明，提出以下｢見解｣：
『不要無病呻吟了，我來替作者解答一下你
1，中間人攻擊問題，你可以在proxy.ini中將validate = 0設置為validate = 1 即可避免中間人攻擊
2，rc4是國際公認的安全演算法，而且goagent的使用方式十分合理，是你詳細說出破解方法。不要說暴力破解，你有這個能力么？
3，CA.crt問題，你可以把這個文件刪除，然後goagent會為你生成一個獨一無二的新CA.crt。
所以你列舉的問題都不是問題，請不要再無病呻吟了』

考量到該童鞋的理解能力，簡單解釋一下 ～

"validate = 1" 同樣不能倖免於中間人攻擊。攻擊例子：擁有 Equifax Secure CA簽發 的證書（CN=www.googlenotajoke.com）。
使用 RC4 演算法的缺陷見 https://www.dlitz.net/software/pycrypto/api/current/Crypto.Cipher.ARC4-module.html，或者 google "attack rc4"。攻擊例子：《GoAgent 3.0.6 CR4 安全漏洞 攻擊示例》，見 https://better-goagent.blogspot.com/。
這個等於說 "只要你把漏洞告訴我，我就能填補它" ～