Flash應(yīng)用程序漏洞挖掘與利用.pdf

1、近年來，隨著以youtobe為代表的flash應(yīng)用的廣泛推廣，針對flash漏洞的攻擊也呈現(xiàn)出快速發(fā)展趨勢，成為網(wǎng)絡(luò)安全不可忽視的重要一點，為更多的人所關(guān)注和研究。本課題主要研究了flash相關(guān)應(yīng)用程序的安全性，對其相關(guān)的應(yīng)用程序進(jìn)行漏洞挖掘，并對相應(yīng)的漏洞進(jìn)行利用。
　　 根據(jù)對flash漏洞種類調(diào)查研究，通過對漏洞的危害性及涉及范圍的分析，漏洞挖掘重點放在挖掘flash文件格式的緩沖區(qū)漏洞。本文具體工作包括以下幾點：

2、　　 ⑴對flash文件格式緩沖區(qū)漏洞進(jìn)行分析研究，并對現(xiàn)有flash緩沖區(qū)漏洞挖掘技術(shù)予以總結(jié)，提出flash漏洞挖掘方案。
　　 ⑵利用Fuzzing技術(shù)開發(fā)具有自動挖掘功能的漏洞挖掘工具swf-Fuzzer。采用自動挖掘方法，利用swf-Fuzzer，通過漏洞調(diào)試技術(shù)，對flash應(yīng)用程序進(jìn)行測試，挖掘出flash緩沖區(qū)漏洞。
　　 ⑶利用shellcode技術(shù)和heap spray技術(shù)對flash緩沖區(qū)堆漏洞進(jìn)

3、行利用，實現(xiàn)了flash漏洞的挖掘和利用。
　　 該flash漏洞挖掘方案特點為：通過Fuzzing技術(shù)對flash應(yīng)用程序進(jìn)行自動挖掘，提高了自動化、智能化的性能，減少了漏洞挖掘時間；通過Degugger技術(shù)，調(diào)試flash漏洞的調(diào)試，判斷漏洞類型，提高了漏洞挖掘的準(zhǔn)確性；最后使用堆漏洞攻擊技術(shù)，對flash緩沖區(qū)漏洞利用，體現(xiàn)了flash漏洞的危害性。漏洞挖掘是網(wǎng)絡(luò)信息安全的一個重要研究課題，在網(wǎng)絡(luò)攻防技術(shù)中占有重要組成部分