Форум Flasher.ru

Форум Flasher.ru (http://www.flasher.ru/forum/index.php)
-   Серверные технологии и Flash (http://www.flasher.ru/forum/forumdisplay.php?f=62)
-   -   Ошибка в FMS 3.5.2? Удаленный клиент може подключаться и презапускать приложение. (http://www.flasher.ru/forum/showthread.php?t=132495)

Sneg 12.11.2009 18:19

Ошибка в FMS 3.5.2? Удаленный клиент може подключаться и презапускать приложение.
 
Добрый день, столкнулись со след проблемой:

Есть сервер FMS 3.5.2. Если приложение на сервере и клиент работающий с нем. Включены SWF veryfing на серверное стороне, также внесены допустимые домены в allowedSWFdomains.txt, allowedHTMLdomains.txt. Однако кому-то удается подключаться удаленно и перезапускать приложение на сервере. Оно просто падает, перед падением в логах мы увидели такое:

Nov 12 12:08:30 srv01 Adaptor[20971]: Exception while processing message : (Adaptor: _defaultRoot_, VHost: _defaultVHost_, App: applicationName/_definst_, Type: 17, ID: 0, Buffer Size: 225, Protocol: rtmp, Client: 5428904857912297026) : 00 02 00 0F s e n d C h a t M e s s a g e 00 00 00 00 00 00 00 00 00 05 11 0A 81 03 01 / i s A d m i n i s t r a t i o n M e s s a g e 19 r e c i e v e r N a m e 1B t r a n s l a t i o n I D 15 s e n d e r N a m e 15 r e c i e v e r I D 11 s e n d e r I D 19 s e n d e r I s M a l e 0F m e s s a g e 02 01 04 84 : 06 1B G r u p p a G r u p p a 01 06 09 9 1 9 9 03 06 15 t e x t f l o o d 83 00 7 DF 00 02 00 0F s e n d C h a t M e s s a g e 00 00 00 00 00 00 00 00 00 05 11 0A 81 03 01 / i s A d m i n i s
Nov 12 12:08:33 srv01 kernel: IP INPUT packet died: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:04:23:e3:a1:4a:08:00 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x

Судя по всему кому-то удается вызвать серверный метод sendChatMessage c определенными параметрами, из-за которых все падает. В самом методе стоит try..catch.

Кто нибудь сталкивался с подобным? Как это можно решить?

aqua97 13.11.2009 16:32

"SWF veryfing" если не помогает то можно поставить пароль при подключении - перед тем как делать
Цитата:

application.onConnect = function(client) {
application.acceptConnection(client);
проверить пароль который флешка прислать должна в момент подключения.
вот так:
Цитата:

application.onConnect = function(client, pass) {
if (pass == "vash-parol, mojno s md5(md5(pass))"){ //двойной мд5 если юзать как в ДЛЕ (CMS datalife) фиг кто догадается в чем дело :)
application.acceptConnection(client);
} else ... reject ...
у меня вот так в паре приложений сделано.. никто не взломал их пока...

Добавлено через 1 минуту
а на стороне клиента:
netConnection.connect("rtmp:/bla bla bla", "password")

Добавлено через 3 минуты
блин, что с форумом пипл? почему кавычки не выводит а пишет " ? некрасиво..

Sneg 13.11.2009 21:24

Нормальные пользователи тоже должны откуда то пароль знать :) SWF разумеется декомпилировали, при подключении передается номер сессии + еще кое какая инфа. Которая дополнительно проверяется на стороннем сервере.

Однако это все не помогло - судя по всему поскольку rtmp открытый протокол, подключаясь с верной флешки на сайте. Есть какая-то возможность залезть в канал и слать произвольную информацию типа таких байт последовательностей. Однако проблему пока удалось решить.
Помогут-ли плагины на C++ (которые идут в поставке с FMS) в отсеивании таких запросов? Есть у кого-нибудь опыт написания и их использования?

aqua97 26.11.2009 23:50

Цитата:

Судя по всему кому-то удается вызвать серверный метод sendChatMessage c определенными параметрами, из-за которых все падает
Интересно зачем только хакеру это нужно.. он что с этого имеет вообще?
кто будет тратить впустую столько времени чтоб взломать ФМС и что-то там грохнуть, вот что интересно :) .. человек наверно душевно-больной .. как и остальные хакеры впрочем.

Помочь ничем не могу здесь.. но посоветую обратится на официальный форум Adobe FMS

http://forums.adobe.com/community/fl...h_media_server


Часовой пояс GMT +4, время: 07:35.

Copyright © 1999-2008 Flasher.ru. All rights reserved.
Работает на vBulletin®. Copyright ©2000 - 2022, Jelsoft Enterprises Ltd. Перевод: zCarot
Администрация сайта не несёт ответственности за любую предоставленную посетителями информацию. Подробнее см. Правила.