Adobe的Flash技术已经变得越来越流行，现在它不仅用于创建动画和广告，而且还用来开发复杂的互联网应用软件。Flash应用程序（即SWF文件）不仅可以通过web协议进行分发，并且还能读取本地或者远程文件、建立网络连接，以及跟其他SWF文件进行通信等。通过本文，您将了解具体的Flash攻击手段，有用的Flash安全审查技巧以及安全有关的开发/配置技术。

　　一、XSS威胁

　　从事Web应用程序的开发或者测试工作的人都知道，Web应用程序有一个常见的安全漏洞，即通常所说的跨站点脚本攻击（XSS）。一般地，如果一个应用程序接受不可信任的源提供的恶意代码，并且在没有对这些数据进行消毒处理的情况下直接将其返回给毫无防备的用户的话，就会发生XSS。虽然Flash应用程序对XSS及其他类型的安全威胁也没有免疫能力，但是web管理员和Flash应用程序开发人员却能够通过采取相应的安全措施来提高这种新兴技术的安全性。

　　一般情况下，进行跨站点脚本攻击时，攻击者需要将恶意脚本代码（诸如JavaScript或者VBScript代码）注入到Web 应用程序中，这通常是通过哄骗用户单击一个链接或者访问一个邪恶的网页来完成的。随后，该web应用程序将在受害者的web会话的上下文中显示并执行注入的代码。这种攻击通常能导致用户帐户失窃，但是却不会导致执行命令，除非同时利用了浏览器的安全漏洞。因为SWF程序可以嵌入到网站中，并对HTML DOM（文档对象模型）有完全的访问权，所以可以通过利用它们来发动XSS攻击。想像一个显示第三方Flash广告的免费电子邮件web服务：一个恶意的广告商可以创建一个恶意的SWF应用程序来劫持您的电子邮件帐号，以便发送垃圾邮件。默认时，Flash Player对同域的DOM具有完全的访问权限。

　　下面介绍针对SWF应用程序的XSS攻击的基本流程。第一步，攻击者必须首先设法将代码注入到应用程序中，以便让代码重新显示给其他用户。Adobe为程序员提供了各式各样的用户界面组件，诸如组合框、单选按钮以及文本字段等，它们的用法跟HTML表单对象极为相似。此外，让SWF应用程序接受从外部输入的参数的方法也很多。