Adobe的Flash技术已经变得越来越流行,现在它不仅用于创建动画和广告,而且还用来开发复杂的互联网应用软件。Flash应用程序(即SWF文件)不仅可以通过web协议进行分发,并且还能读取本地或者远程文件、建立网络连接,以及跟其他SWF文件进行通信等。通过本文,您将了解具体的Flash攻击手段,有用的Flash安全审查技巧以及安全有关的开发/配置技术。
一、XSS威胁
从事Web应用程序的开发或者测试工作的人都知道,Web应用程序有一个常见的安全漏洞,即通常所说的跨站点脚本攻击(XSS)。一般地,如果一个应用程序接受不可信任的源提供的恶意代码,并且在没有对这些数据进行消毒处理的情况下直接将其返回给毫无防备的用户的话,就会发生XSS。虽然Flash应用程序对XSS及其他类型的安全威胁也没有免疫能力,但是web管理员和Flash应用程序开发人员却能够通过采取相应的安全措施来提高这种新兴技术的安全性。
一般情况下,进行跨站点脚本攻击时,攻击者需要将恶意脚本代码(诸如JavaScript或者VBScript代码)注入到Web 应用程序中,这通常是通过哄骗用户单击一个链接或者访问一个邪恶的网页来完成的。随后,该web应用程序将在受害者的web会话的上下文中显示并执行注入的代码。这种攻击通常能导致用户帐户失窃,但是却不会导致执行命令,除非同时利用了浏览器的安全漏洞。因为SWF程序可以嵌入到网站中,并对HTML DOM(文档对象模型)有完全的访问权,所以可以通过利用它们来发动XSS攻击。想像一个显示第三方Flash广告的免费电子邮件web服务:一个恶意的广告商可以创建一个恶意的SWF应用程序来劫持您的电子邮件帐号,以便发送垃圾邮件。默认时,Flash Player对同域的DOM具有完全的访问权限。
下面介绍针对SWF应用程序的XSS攻击的基本流程。第一步,攻击者必须首先设法将代码注入到应用程序中,以便让代码重新显示给其他用户。Adobe为程序员提供了各式各样的用户界面组件,诸如组合框、单选按钮以及文本字段等,它们的用法跟HTML表单对象极为相似。此外,让SWF应用程序接受从外部输入的参数的方法也很多。
版权与免责声明
1、本站所发布的文章仅供技术交流参考,本站不主张将其做为决策的依据,浏览者可自愿选择采信与否,本站不对因采信这些信息所产生的任何问题负责。
2、本站部分文章来源于网络,其版权为原权利人所有。由于来源之故,有的文章未能获得作者姓名,署“未知”或“佚名”。对于这些文章,有知悉作者姓名的请告知本站,以便及时署名。如果作者要求删除,我们将予以删除。除此之外本站不再承担其它责任。
3、本站部分文章来源于本站原创,本站拥有所有权利。
4、如对本站发布的信息有异议,请联系我们,经本站确认后,将在三个工作日内做出修改或删除处理。
请参阅权责声明!