Author: xy7[80sec]
EMail: xy7#80sec.com/[email protected]
Site: http://www.80sec.com
Date: 2009-7-27
[ 目录 ]
0x00 前言
0x01 swf 文件头分析
0x02 swf 文件结构
0x03 swf tag类型
0x04 寻找Actionscript代码
0x05 还原带有变量的AS代码段
0x06 总结
0x07 代码示例
阅读全文 »
作者:ycosxhack
来源:余弦函数
XSS即Cross-Site Scripting跨站脚本,提到XSS,我们首先会想到作为web客户端逻辑控制的脚本语言JavaScript,不过我认为XSS不应该就是 JavaScript的专利。随着Flash与Flex的壮大,随着RIA应用的普及,ActionScript脚本语言带来了全新的XSS威胁!这样的威胁可以分为两类:
1)、AS的inline-XSS即内嵌跨站脚本,这类跨站发生在flash运行环境内。
2)、ASJS通信盒子,这最终还是要借助JavaScript。AS3对安全性能要求苛刻,相比JavaScript,AS是神秘的、新鲜的。
其实ActionScript与VBScript、服务端编程一样都可以作为跨站攻击的一种辅助手段。不过随着Flex在RIA应用中的猛烈发展, 阅读全文 »
