Flash脚本过滤不严 网站被黑客挂马
如何利用漏洞挂马
第一步:首先安装Adobe Flash制作软件,然后新建一个Flash动画文件,完成之后按F9键调出“动作”面板(图1)。 “动作”面板的编辑环境由左右两部分组成,左侧部分又分为上下两个窗口,上方是动作工具箱窗口、下方是脚本导航窗口。在右边的脚本编辑窗口中点击“添加脚本”,向脚本窗口添加代码“getURL("http://www.google.cn", "_top","GET");”。 安全小百科:左侧下方的“脚本”导航器中,列出了Flash文件中具有关联动作脚本的帧位置和对象,单击脚本导航器中的项目,与该项目相关联的脚本则会出现在脚本编辑窗口中,并且场景上的播放头也将移到时间轴的对应位置上。双击脚本导航器中的项目,则该脚本会被固定。 第二步:再新建一个Flash动画文件,重复前面步骤的动作,不过此时在脚本编辑窗口中添加的代码改为“getURL("javascript:window.location.reload();alert(''xss'');", "_self", "GET");”。 找到一个能够上传Flash动画的网站,将制作好的两个Flash动画上传到该网站,并通过查看源代码等方式找到上传动画的URL地址。保存地址,再找到一个用UCenter Home构建的SNS社区网站,注册一个用户名和密码(图2)。 第三步:注册完账号后,点击“发表新日志”按键,发表一篇帖子。此时在网页新弹出的日志内容窗口上方,会有一排快捷键。在快捷键中找到插入Flash动画的按键,点击“插入视频Flash”(图3)。 在弹出的输入窗口中,将动画类型选为“Flash动画”,然后在后面的动画URL地址中输入我们上传的Flash动画URL地址,点击“确定”。 退出编辑页面,重新打开新发表的日志,此时页面会先弹出Google网站(图4)。 然后弹出一个Windows提示窗口(图5)。 深度分析 上面例子中弹出的窗口或者网页,如果将地址修改成网页木马的地址就是网页挂马了,如果将弹出的信息又修改为“恭喜你,中奖了!”就是网络诈骗了。可见该漏洞的危害是比较大的。 导致漏洞出现的直接原因还是Flash,自从它诞生后安全问题就一直没有断过,几乎每个版本都出过或大或小的漏洞。 黑客之所以喜欢挖掘Flash漏洞是有原因的,Flash挂马隐蔽性好,允许上传Flash的网站也非常多。 此外,Flash还有一些合法的但有安全隐患的功 |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |