Flash跨站脚本漏洞挖掘技术研究

发布时间：2017-08-13 14:05

  本文关键词：Flash跨站脚本漏洞挖掘技术研究

  更多相关文章： Adobe Flash ActionScript 跨站脚本 安全漏洞 Web安全

【摘要】：Flash引起的跨站脚本攻击能够导致用户隐私泄露,严重威胁Web安全.有必要对此类漏洞的挖掘技术进行深入研究,尽早发现并修复安全隐患.通过分析总结可以导致XSS(cross-site scripting)漏洞的不安全ActionScript函数,设计并实现了Flash跨站脚本漏洞挖掘工具(flash XSS detector,FXD).它将静态分析和动态测试技术相结合,能够自动地反编译Flash文件,分析ActionScript文件中包含的危险函数及对应参数,并通过动态测试方法加以验证.通过使用该工具对Alexa Top100站点中的Flash文件进行广泛的测试,发现18个站点的48个Flash应用可以导致XSS攻击.该测试结果表明了FXD的有效性和先进性.
【作者单位】： 中国科学院大学国家计算机网络入侵防范中心;综合业务网理论及关键技术国家重点实验室(西安电子科技大学);
【关键词】： Adobe Flash ActionScript 跨站脚本 安全漏洞 Web安全
【基金】：国家自然科学基金项目(61303239,61272481) 北京市自然科学基金项目(4122089) 国家发展和改革委员会2011年信息安全专项项目(发改办高技[2012]1424号) 中国科学院大学校长基金项目(Y25102HN00)
【分类号】：TP393.08
【正文快照】： Flash被广泛用于诸多Web应用中,可以提供作为常见的Web应用安全威胁,黑客能够利用XSS包括视频、广告、动画等在内的多种形式的动态内攻击获取受害者的隐私信息(例如Cookies信息,进容.然而,Flash同时也能对Web应用的安全性和可而劫持用户账户).如图1所示,若example.com子靠性构

【参考文献】

中国期刊全文数据库 前1条

1 陈景峰;王一丁;张玉清;刘奇旭;;存储型XSS攻击向量自动化生成技术[J];中国科学院研究生院学报;2012年06期

【共引文献】

中国期刊全文数据库 前1条

1 蒋华;徐中原;王鑫;;基于行为的XSS攻击防范方法[J];计算机工程与设计;2014年06期

【二级参考文献】

中国期刊全文数据库 前1条

1 陈建青;张玉清;;Web跨站脚本漏洞检测工具的设计与实现[J];计算机工程;2010年06期

中国硕士学位论文全文数据库 前1条

1 邱勇杰;跨站脚本攻击与防御技术研究[D];北京交通大学;2010年

【相似文献】

中国期刊全文数据库 前10条

1 松下客;我的Flash代码你别看![J];电脑知识与技术;2003年36期

2 纪宏伟;;基于ActionScript下可查询成绩网页的开发实例[J];电脑编程技巧与维护;2011年14期

3 王治文;面向浏览器的ActionScript函数作图[J];远程教育杂志;2005年03期

4 智文静;;全Flash网站的建立[J];集宁师专学报;2007年04期

5 张海黎;郑为;;设计纯Flash网页与Flash作品的区别及关键技术[J];包头职业技术学院学报;2005年04期

6 张金区;王云鹏;;构建WebGIS系统的Flash解决方法[J];计算机工程与应用;2010年17期

7 张智;曾诚;;基于RIA技术的在线试衣间系统的设计[J];计算机技术与发展;2011年10期

8 ;远程Flash技术[J];个人电脑;2004年02期

9 唐政栋;如何实现Flash数据动态抓取[J];中国传媒科技;2003年09期

10 毛耀,杨颂华,祖正容,叶海滨;基于Flash的动态网站新方案[J];西南民族学院学报(自然科学版);2001年03期

中国重要报纸全文数据库 前1条

1 苗得雨;独家爆料 FlaSh成SNS社区“炸弹”[N];电脑报;2009年

中国硕士学位论文全文数据库 前10条

1 王世鹏;塔防模块在ARPG中的设计与实现[D];电子科技大学;2013年

2 陈显军;基于Flex的RIA应用与研究[D];电子科技大学;2007年

3 邓娟;基于RIA技术的健康服务系统开发实现[D];电子科技大学;2011年

4 魏传振;校园虚拟地图系统的研究与应用[D];中国地质大学（北京）;2011年

5 刘小珍;基于AVM2逃逸的漏洞挖掘技术研究及防范[D];四川师范大学;2012年

6 胡亚楠;社交网络数据获取技术与实现[D];哈尔滨工业大学;2011年

7 屈立虎;复杂网络拓扑结构聚合与展现系统的设计与实现[D];长安大学;2012年

8 张晨;校园在线卡拉OK平台的设计与实现[D];华中科技大学;2012年

9 何雪杰;基于FLEX的虚拟社区框架的研究与设计[D];成都理工大学;2013年

10 贾睿;基于SIP的Web语音系统的研究[D];北京邮电大学;2010年

，

本文编号：667645