利用Flash参数注入的新型攻击技术

这种攻击之所以得手，是因为JavaScript函数“encodeURI”没有对所有字符全部进行编码，例如“&”和“？”等字符。虽然该函数广泛用于基于DOM 的跨站脚本攻击的防范之上，但是不能防范基于DOM 的Flash参数注入攻击。在这种情况下，应该按照具体情况来采取消毒措施，比如使用“escape”或者“encodeURIComponent”等函数。

⒉反射式Flash参数注入攻击

当Flash视频的名称作为表单或者URL 参数暴露在外的时候，应用程序就会易受Flash参数注入的攻击。攻击者可以控制装入的Flash视频，以加载一个恶意Flash视频，即使已经采取了防范措施，例如只允许从一个特定的域装载合法的电影，但是指定Flash下载地址会使覆盖嵌入HTML页面内部的Flash视频全局参数变得更容易。例如，下面是在一个Web服务器上的Perl脚本，其中“params”是一个存放所有相关HTML参数的关联数组：

图9　创建具备动态Flash视频的HTML的Perl代码

在上面的代码中，Flash视频的名称取自请求中的表单或者URL参数，并将其作为要加载的Flash视频的名称放到生成的HTML页面中。攻击者可以创建如下所示的攻击性链接来覆盖一些全局Flash参数：

http://URL/index.cgi?movie=myMovie.swf?globalVar=e-v-i-l

注意，影片的名称包含了一个问号，其后就是将传递给Flash文件的各个参数。当受害者点击该链接时，会生成如下所示的HTML代码，并被发给受害者：