初探AMF——Flash盛行年代的安全问题

  • A+
所属分类:网络安全

一篇来自职业欠钱哥哥的东西,很有帮助。

这两年WebGame比较火,WebGame中,前端用Flash表现比较多,而服务器端依然是Web应用。

不少产品已经开始用AMF(Action Message Format)来取代标准的HTTP交互。(这里描述不严谨,因为AMF仍然是基于标准HTTP协议的,只不过用二进制的方式实现序列化和反序列化) 注1.

 

使用二进制方式实现序列化的好处是数据会得到很好的压缩(对比一下XML、JSON等方式),但缺点是可读性比较差。

我们不再敢奢望使用一个Sniffer从十六进制转换成ASCII码就可以清楚的了解发送了什么信息,获得了什么反馈了。

来看一下AMF协议数据抓包的前后模样吧:

初探AMF——Flash盛行年代的安全问题

上图是HTTP传输经过gzip压缩后的,直接用sniffer抓包后是没法直接阅读的。看看解压缩后的十六进制内容初探AMF——Flash盛行年代的安全问题

可读性已经大大提升了,在FireBug或者是HTTP Watch里可以看到一部分字符串,外加很多乱码,因为二进制内容有很多超出可显示范围的字符。比如下面这个样子:

初探AMF——Flash盛行年代的安全问题

这时候,我们需要一个能够解析AMF协议的工具(或者是某些开发类库),来做这样的翻译工作。

@CFC4N 同学给我推荐了一款神兵利器——Charles 。

 

Charles 是一个HTTP代理服务器、,HTTP监视器、反转代理服务器。它允许一个开发者查看所有连接互联网的HTTP通信.这些包括request, response现HTTP headers (包含cookies与caching信息)。如果HTTP协议里包含了AMF数据,它会解析成人类看得懂的文本信息,并且允许你修改以后(下断点的情况)再发送,或者是简单的重放。

看看在Charles下数据的原貌吧。

初探AMF——Flash盛行年代的安全问题

一旦数据“明文化”,协议清晰了,安全问题也就随之而来了。

 

还 记得那句”一切输入都是有害的”吧。

现在我们只要在Charles中下好断点,在每个Request中,仔细端详每个参数,通过变量名猜测其含义和用途,修改值以后再送出。

就可以测试很多以前我们轻车熟路的攻击套路了。

 

以WebGame为例,我们可以做如下尝试:

1. 任务: 反复做/交任务、乱序做任务(之前已做过的、还没接到的)

与某个NPC对话/战斗,修改NPC的ID;修改任务ID乱序测试;重复提交任务完成信息;

2. 战斗: 攻击、治疗效果是本地提交

观察战斗过程中与服务器交互的数据,是否携带过程参数,如有,各种修改各种提交,超大值/负值/游戏里不存在的值/别人的值

3. avatar属性:提交 几率合成性质的结果、绕过CD时间/数量限制提交

几率性的内容往往也是现在游戏里价值最高的核心内容,一个脑残的“保存”设计可能就允许自己“随机”提交一个“几率性的结果”

4. 交易系统: 负值/临界值提交、出售/撤销他人物品、自定义价格

市场里明码标价的物品价格是否出现在购买请求封包中;挂售后取回的物品ID尝试修改为别人的物品ID看看;挂个价格为负数的物品自己买;挂售有最低价格限制?封包里想写多少我说了算;

5. 副本、日常: 绕过次数限制、绕过流程提交最终结果

游戏怕老玩家无聊,总会做一些每日都能进行的日常任务和副本,也往往有个次数限制,看看这个限制是不是纸老虎,抓了完成任务的数据包后重放就知道了;

6. 社交系统: 添加自己为好友、发布富文本信息(伪装系统发言的格式、颜色)、绕过CD限制发言/发信

只有系统公告和GM喊话才是彩色的?未必,在封包里把消息改为<font color=red>我是GM</font>看看;每次发言都要等待一段时间?看我封包的厉害

 

当然,也包括了现代小黑黑们最擅长的SQL注入、畸形数据(D.O.S)攻击。

上述所有的参数,都可以尝试修改为SQL注入语句,或者是十六进制不满足AMF规范协议的一个00,可能就会让服务端程序抛出一个异常,甚至直接crash掉。

 

从偷懒的心理来说,但凡是有了一丁点儿的封装,就必然有一定数量的程序员会认为:这一堆乱七八糟的东西普通用户是看不懂的,没人能够随便修改,所以我也就不必对它们做小心翼翼的处理了。

 

于是,越是表面上看起来复杂的东西,攻击起来的效果可能会更令人意想不到(在了解协议,将信息“明文化”,可自定义提交的场景中)。

 

最后,AMF也已经有了不少类库可以直接识别、书写了,

再加上Flash本身可以被SWF Decompiler之类的工具反编译(虽然看不到原始的代码,但基本的资源、变量名、AS脚本还是看的比较清楚的),那些做webgame脱机外挂的朋友应该是再熟悉不过了。

 

所以,基于Flash+AMF+Web后台的WebGame,应该还有很大的发挥空间。

 

参考资料:

1. 伟大的@CFC4N同学,还有当初没看过AMF协议硬生生从十六进制摸索出了协议规律的neptune同学

2. AMF  http://www.cnblogs.com/studyzy/archive/2008/04/09/1143685.html

 

注解1. 关于序列化和反序列化

我一直觉得那些专业的XX百科、XX WiKi,都是喜欢用专业术语解释专业术语,对小白用户来说,往往看2眼会更加不知所云。

不过我相信,亲自操作过Charles之后,会对这个概念理解的很形象的。

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: