利用Flash参数注入的新型攻击技术

一、综述

本文将向读者介绍一种新型的攻击，我们称之为FPI，即Flash参数注入攻击。此前，安全专家曾发现，如果攻击者能访问和控制Flash的全局参数的话，他们就能够完成诸如经由Flash的跨站点脚本攻击、跨站flash以及修改Flash视频的信息流等等。这些攻击需要能够直接访问Flash视频以及通过URI对有关参数进行设置。当Flash视频是嵌入到HTML页面中并且无法访问原始DOM的时候，攻击者将无法发动这些攻击。

许多时候，Flash文件只能在原始的HTML中运行，而不能作为URI加载，这样的话，就无法进行常规的跨站flash攻击。本文展示了一些技术，在电影被嵌入到一个原始的HTML页面的时候，攻击者可以用这些技术来注入全局Flash参数。这些注入的参数不仅可以赋予攻击者对页面DOM的完全控制权，还能控制Flash视频内部的其它对象。这个可以利用Flash视频及其所在的HTML 页面之间的交互发动更多精心策划的各种攻击。由此，本文所述的FPI技术能够增加了Flash攻击的适应面，也就是说会有更多的网站面临Flash攻击的危险。

本文中，我们将论述五种不同的技术。首先，我们将描述一种简单的基于DOM的注入技术，提供该技术，攻击者能够使用原始HTML 页面的URI来注入Flash参数，从而逃避诸如Web服务器的IDS以及IPS保护机制的检测。本例将向大家证明，经常用于为URI消毒的encodeURI函数不足以抗击该攻击。第二种技术将利用HTML表单或者URI参数来注入全局Flash参数。第三种技术展示如何利用Flash视频的引用来覆盖这些参数的值。第四种技术为大家展示如何利用HTML的对象标签的属性实现FPI。最后，第五种技术为大家说明一种持久性Flash参数注入攻击方法。这种技术致使注入的内容成为持久性数据，这意味着在不同的会话中、甚至在允许注入的安全漏洞已被修复之后，注入的内容仍然有效。实际上，本文涉及的一些技术已被广泛应用于现实中的各种应用程序。