- A+
所属分类:神兵利刃
一、前言
曾在《页游安全攻与防》一文中介绍了网页游戏的安全与防御问题,主要包括以下几点:
一、协议安全(swf安全):自动封包 (重点) 二、自动游戏+加速 三、内存安全:内存修改 四、存档安全:存档修改 五、帐号安全/充值安全:盗号/低价充值
而本篇文章旨在介绍页游安全测试中用到的工具(其实从某种程度来说也可以认为是作弊工具),但不限于页游,会扩展到flash应用安全的测试工具以及flash应用安全较好的参考资料。
二、工具
1. 页游安全测试工具
自动游戏: 按键精灵
加速 :变速齿轮GearNT
SWF内存抓取: SWF Memory Dumper, SWF Reader收费
SWF反编译:
Sothink SWF Decompiler/Sothink SWF Quicker 收费,对加密的SWF不行
Action Script Viewer/SWF Revealer Tool(ASV)收费,最有效的反编译工具,支持AS2,AS3,注册用户可以使用ASV的SWF Revealer工具,导出加密(例如使用DoSWF加密)的SWF文件
AS3 Sorcerer 收费,使用ASV反编译引擎
JP ActionScript decompiler(ASDec),可以同时查看反编译AS源码,和对应的字节码bytecode,并可以修改字节码
Flash Decompiler Trillix 收费,对加密的SWF不行
Flare 支持as2
Zlash 支持as2
Show my code 在线反编译工具,支持Zend Guard编码的PHP, JAVA class,SWF,.NET,QR
SWF反汇编:
RABCDAsm 支持as3
Flasm 支持as2
IDA plugins 支持as2,as3
Flash SWF AVM1/AVM2 code flow tracer 俄语,当swf加密没法反编译的情况下可以使用该工具查看bytecode
PBJ文件反汇编:Pixel Bender Assembler
存档(SOL)编辑:Minerva
2. Flash APP security Tools
SWF调试:SWFRETools
flash APP安全检测工具:HPSWFScan 反编译SWF文件(未加密的SWF文件),查找源码中的安全漏洞,如下所示:
(1)可以通过鼠标右键查看SWF文件的源码,建议从Flex Builder authoring tool build时,不要勾选Include source (2)硬编码信用卡号、社会保险号(专指美国)、数据库连接字符串(包括MSSQL,Access,Oracle,IBM DB2,MySQL,Sybase,Informix),PGP 私钥 (3) SWF之间通信的安全域问题:Security.allowInsecureDomain(), Security.allowDomain(), LocalConnection.allowDomain(), LocalConnection.allowInsecureDomain() (4)SWF本地存储(Local storage Objects)的安全问题,检查SharedObject.getLocal()方法的localPath设置 (5)检查ENABLEDEBUGGER标签是否开启,建议发布版禁止远程调试的功能 (6)查找 FlashVars Cross-site scripting漏洞,FlashVars Cross-Site Request Forgery漏洞,需要合理调用allowScriptAccess,allowNetworking,ExternalInterface.call (7)查找是否正确使用System.security.loadPolicyFile (8)查找MD5 字符串,SHA-1字符串 (9)查找源码中的URL路径
AMF工具:
pinta AMF service test and debug
Blazentoo an Adobe AIR application that can be used to exploit insecure Adobe BlazeDS and LiveCycle Data Services ES servers
其他:BetterPrivacy 清除sol文件(firefox扩展) FlashFirebug/Flashbug
SWF保护:secureSWF (AS混淆),DoSWF/FPE,
三、有用的网站/文章
security domain,application domain,and more in as 3.0(中文翻译 安全域,应用域)
- 我的微信
- 这是我的微信扫一扫
-
- 我的微信公众号
- 我的微信公众号扫一扫
-
