该童鞋针对漏洞说明,提出以下“见解”:
『
不要无病呻吟了,我来替作者解答一下你
1,中间人攻击问题,你可以在proxy.ini中将validate = 0设置为validate = 1 即可避免中间人攻击
2,rc4是国际公认的安全算法,而且goagent的使用方式十分合理,是你详细说出破解方法。不要说暴力破解,你有这个能力么?
3,CA.crt问题,你可以把这个文件删除,然后goagent会为你生成一个独一无二的新CA.crt。
所以你列举的问题都不是问题,请不要再无病呻吟了
』
考虑到该童鞋的理解能力,简单解释一下 ~
- "validate = 1" 同样不能幸免于中间人攻击。攻击例子:拥有 Equifax Secure CA签发 的证书(CN=www.googlenotajoke.com)。
- 使用 RC4 算法的缺陷见 https://www.dlitz.net/software/pycrypto/api/current/Crypto.Cipher.ARC4-module.html,或者 google "attack rc4"。攻击例子:《GoAgent 3.0.6 CR4 安全漏洞 攻击示例》,见 http://better-goagent.blogspot.com/。
- 这个等于说 "只要你把漏洞告诉我,我就能填补它" ~
No comments:
Post a Comment