初探AMF——Flash盛行年代的安全问题

一篇来自职业欠钱哥哥的东西，很有帮助。

这两年WebGame比较火，WebGame中，前端用Flash表现比较多，而服务器端依然是Web应用。

不少产品已经开始用AMF（Action Message Format）来取代标准的HTTP交互。（这里描述不严谨，因为AMF仍然是基于标准HTTP协议的，只不过用二进制的方式实现序列化和反序列化） 注1.

使用二进制方式实现序列化的好处是数据会得到很好的压缩（对比一下XML、JSON等方式），但缺点是可读性比较差。

我们不再敢奢望使用一个Sniffer从十六进制转换成ASCII码就可以清楚的了解发送了什么信息，获得了什么反馈了。

来看一下AMF协议数据抓包的前后模样吧：

上图是HTTP传输经过gzip压缩后的，直接用sniffer抓包后是没法直接阅读的。看看解压缩后的十六进制内容

可读性已经大大提升了，在FireBug或者是HTTP Watch里可以看到一部分字符串，外加很多乱码，因为二进制内容有很多超出可显示范围的字符。比如下面这个样子：

这时候，我们需要一个能够解析AMF协议的工具（或者是某些开发类库），来做这样的翻译工作。

@CFC4N 同学给我推荐了一款神兵利器——Charles 。

Charles 是一个HTTP代理服务器、,HTTP监视器、反转代理服务器。它允许一个开发者查看所有连接互联网的HTTP通信.这些包括request, response现HTTP headers (包含cookies与caching信息)。如果HTTP协议里包含了AMF数据，它会解析成人类看得懂的文本信息，并且允许你修改以后（下断点的情况）再发送，或者是简单的重放。

看看在Charles下数据的原貌吧。

一旦数据“明文化”，协议清晰了，安全问题也就随之而来了。

还 记得那句”一切输入都是有害的”吧。

现在我们只要在Charles中下好断点，在每个Request中，仔细端详每个参数，通过变量名猜测其含义和用途，修改值以后再送出。

就可以测试很多以前我们轻车熟路的攻击套路了。

以WebGame为例，我们可以做如下尝试：

1. 任务： 反复做/交任务、乱序做任务（之前已做过的、还没接到的）

与某个NPC对话/战斗，修改NPC的ID；修改任务ID乱序测试；重复提交任务完成信息；

2. 战斗： 攻击、治疗效果是本地提交

观察战斗过程中与服务器交互的数据，是否携带过程参数，如有，各种修改各种提交，超大值/负值/游戏里不存在的值/别人的值

3. avatar属性：提交 几率合成性质的结果、绕过CD时间/数量限制提交

几率性的内容往往也是现在游戏里价值最高的核心内容，一个脑残的“保存”设计可能就允许自己“随机”提交一个“几率性的结果”

4. 交易系统： 负值/临界值提交、出售/撤销他人物品、自定义价格

市场里明码标价的物品价格是否出现在购买请求封包中；挂售后取回的物品ID尝试修改为别人的物品ID看看；挂个价格为负数的物品自己买；挂售有最低价格限制？封包里想写多少我说了算；

5. 副本、日常： 绕过次数限制、绕过流程提交最终结果

游戏怕老玩家无聊，总会做一些每日都能进行的日常任务和副本，也往往有个次数限制，看看这个限制是不是纸老虎，抓了完成任务的数据包后重放就知道了；

6. 社交系统： 添加自己为好友、发布富文本信息（伪装系统发言的格式、颜色）、绕过CD限制发言/发信

只有系统公告和GM喊话才是彩色的？未必，在封包里把消息改为<font color=red>我是GM</font>看看；每次发言都要等待一段时间？看我封包的厉害

当然，也包括了现代小黑黑们最擅长的SQL注入、畸形数据（D.O.S）攻击。

上述所有的参数，都可以尝试修改为SQL注入语句，或者是十六进制不满足AMF规范协议的一个00，可能就会让服务端程序抛出一个异常，甚至直接crash掉。

从偷懒的心理来说，但凡是有了一丁点儿的封装，就必然有一定数量的程序员会认为：这一堆乱七八糟的东西普通用户是看不懂的，没人能够随便修改，所以我也就不必对它们做小心翼翼的处理了。

于是，越是表面上看起来复杂的东西，攻击起来的效果可能会更令人意想不到(在了解协议，将信息“明文化”，可自定义提交的场景中）。

最后，AMF也已经有了不少类库可以直接识别、书写了，

再加上Flash本身可以被SWF Decompiler之类的工具反编译（虽然看不到原始的代码，但基本的资源、变量名、AS脚本还是看的比较清楚的），那些做webgame脱机外挂的朋友应该是再熟悉不过了。

所以，基于Flash+AMF+Web后台的WebGame，应该还有很大的发挥空间。

参考资料：

1. 伟大的@CFC4N同学，还有当初没看过AMF协议硬生生从十六进制摸索出了协议规律的neptune同学

2. AMF  http://www.cnblogs.com/studyzy/archive/2008/04/09/1143685.html

注解1. 关于序列化和反序列化

我一直觉得那些专业的XX百科、XX WiKi，都是喜欢用专业术语解释专业术语，对小白用户来说，往往看2眼会更加不知所云。

不过我相信，亲自操作过Charles之后，会对这个概念理解的很形象的。