Sécurité des applications FLEX/AMF

Les applications riches (RIA) posent de nouveaux problèmes aux pen-testeurs, car on se retrouve face à un client lourd, dont le code source n’est pas aussi accessible que peut l’être le Javascript (modulo l’obfuscation 😉 ).

Le client lourd en environnement WEB à un premier effet pervers sur le développeur : l’impression de contrôler les actions du client, ce qui s’accompagne d’un relâchement des contrôles coté serveur.

Et là, c’est le drame !!!

Car le flash peut être décompilé et analysé à l’aide d’outils comme SWFScan d’HP.
les requêtes flex (au dessus d’HTTP) peuvent être analysées à l’aide de Burp,
et bien sur, il est possible d’interagir avec la partie serveur à l’aide de librairies AMF comme pyAMF 😀

Happy Hacking !