WEB开发网
开发学院网络安全安全技术 利用Flash参数注入的新型攻击技术 阅读

利用Flash参数注入的新型攻击技术

 2008-12-18 13:41:10 来源:WEB开发网   
核心提示: 二、背景知识Adobe Flash被广泛应用于为Web页面提供生动性和互动性元素,Flash视频不仅可以嵌入到HTML页面中,利用Flash参数注入的新型攻击技术(2),而且还可以在独立的Flash Player中播放,Flash视频可以包含简单的脚本,由于原始的Flash视频被嵌入一个H

二、背景知识

Adobe Flash被广泛应用于为Web页面提供生动性和互动性元素。Flash视频不仅可以嵌入到HTML页面中,而且还可以在独立的Flash Player中播放。

Flash视频可以包含简单的脚本,这些脚本通常用ActionScript语言编写。这些脚本用来增强Flash视频的性能,还用来创建更加动态的Web页面以及更加丰富多彩的互联网应用程序。

1.在HTML中嵌入Flash视频

可以用下列方式在一个HTML页面内嵌入Flash视频:

利用Flash参数注入的新型攻击技术

图1 在HTML中嵌入Flash

当访问该页面时,浏览器会自动下载该Flash视频,并在该页面内为用户播放该Flash视频。当嵌入到HTML页面中时,Flash视频就具备了访问该页面的DOM的权限,这意味着可以通过该电影的ActionScript代码来执行JavaScript代码。因为电影能够访问整个DOM,所以该电影也就能访问加载该Flash的域为该用户的计算机设置的Cookie了。

将Flash视频嵌入到一个HTML页面时,还有一种方法可用,那就是当用户浏览Flash视频的URL时,直接由浏览器将Flash视频嵌入页面。在这种情况下,会创建一个“幽灵”HTML页面,它将Flash视频作为一个嵌入对象存于其中,这个页面如下所示:

利用Flash参数注入的新型攻击技术

图2 指定Flash下载地址的HTML

注意,在这种情况下,由于原始的Flash视频被嵌入一个HTML页面,所以这个Flash视频继续嵌入到上述HTML页面中,因此也就无法访问上述HTML页面的DOM了。

上一页  1 2 3 4 5 6 7  下一页

Tags:利用 Flash 参数

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接