• / 25
  • 下载费用:5 金币  

18利用flash的新型攻击.pptx

关 键 词:
18 利用 FLASH 新型 攻击
资源描述:
,小组成员:郭映泽 2015140088 汪彤 2015140049 曹天挺 2015140051 陈祥一 2015140050,利用flash的新型攻击,,,综述,背景知识,安全措施,Flash钓鱼剖析,Flash参数型注入,综述,综述,FPI(Flash Parameter Injection)指Flash参数型注入攻击,是一种动态注入Flash的全局参数的攻击手段。众所周知,网页中的Flash是直接嵌入到HTML文档中的,因此不能被URI加载,但是由于Flash的一些全局参数是可以通过URI来设置的。这样一来,如果攻击者能访问和控制Flash的全局参数,就能够进行Flash XSS、跨站Flash等攻击。,背景知识,背景知识,Adobe Flash被广泛应用于为Web页面提供生动性和互动性元素。Flash视频不仅可以嵌入到HTML页面中,而且还可以在独立的Flash Player中播放。 Flash视频可以包含简单的脚本,这些脚本通常用ActionScript语言编写。这些脚本用来增强Flash视频的性能,还用来创建更加动态的Web页面以及更加丰富多彩的互联网应用程序。,在 HTML 中播放视频的方法有很多种,,1.使用标签,,2.使用标签,,3.使用标签,,最佳解决方法,,Flash参数型注入,(1)反射型Flash参数注入。 当Flash视频的名称作为URL参数暴露在外的时候,攻击者可以控制装入的Flash变量,以加载一个恶意的Flash视频。反射式flash参数注入如下图,(2)附带FlashVars的反射型Flash参数注入。 这种方法使用FlashVars属性。该属性可以在标签中指定,用来传递全局Flash参数。在ActionScript 2.0中,FlashVars会被自动导入到Flash应用程序的变量空间。,(3)FlashVars注入。当任意的标签的属性作为参数接收时,都可能导致这种攻击,(4)基于DOM的Flash参数注入。当document.location变量被用作Flash参数的时候,会导致此类攻击,(5)持久型Flash参数注入。该攻击发生在Flash Cookie被保存下来并且被加载到Flash视频中的情况下。,Flash钓鱼剖析,,除了利用Flash本身存在的漏洞执行攻击,还可以把Flash当做一个载体加以利用,如网络钓鱼攻击。此类攻击不要求Flash或网站本身存在漏洞,而是结合社会工程学进行攻击。近年来,基于Flash的钓鱼攻击日益增多,例如,前段时间就有利用QQ空间伪装QQ安全中心进行钓鱼的案例。攻击者通过QQ空间的装扮功能,利用Flash播放器播放了一个精心构造的Flash文件来仿造QQ登录框,并诱使用户输入账号及密码信息。当受害者输入自己的QQ账号和密码后,该信息被发送到指定的空间,并生成一个文本文件记录下来。,
展开阅读全文
1
  金牌文库所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
0条评论

还可以输入200字符

暂无评论,赶快抢占沙发吧。

关于本文
本文标题:18利用flash的新型攻击.pptx
链接地址:http://www.gold-doc.com/p-257152.html
关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服客服 - 联系我们
copyright@ 2014-2018 金牌文库网站版权所有
经营许可证编号:浙ICP备15046084号-3
收起
展开