Flash脚本过滤不严 网站被黑客挂马

　　第一步：首先安装Adobe Flash制作软件，然后新建一个Flash动画文件，完成之后按F9键调出“动作”面板(图1)。 “动作”面板的编辑环境由左右两部分组成，左侧部分又分为上下两个窗口，上方是动作工具箱窗口、下方是脚本导航窗口。在右边的脚本编辑窗口中点击“添加脚本”，向脚本窗口添加代码“getURL("http://www.google.cn"， "_top"，"GET");”。

　　安全小百科：左侧下方的“脚本”导航器中，列出了Flash文件中具有关联动作脚本的帧位置和对象，单击脚本导航器中的项目，与该项目相关联的脚本则会出现在脚本编辑窗口中，并且场景上的播放头也将移到时间轴的对应位置上。双击脚本导航器中的项目，则该脚本会被固定。

　　第二步：再新建一个Flash动画文件，重复前面步骤的动作，不过此时在脚本编辑窗口中添加的代码改为“getURL("javascript:window.location.reload();alert(''xss'');"， "_self"， "GET");”。

　　找到一个能够上传Flash动画的网站，将制作好的两个Flash动画上传到该网站，并通过查看源代码等方式找到上传动画的URL地址。保存地址，再找到一个用UCenter Home构建的SNS社区网站，注册一个用户名和密码(图2)。

　　第三步：注册完账号后，点击“发表新日志”按键，发表一篇帖子。此时在网页新弹出的日志内容窗口上方，会有一排快捷键。在快捷键中找到插入Flash动画的按键，点击“插入视频Flash”(图3)。

　　在弹出的输入窗口中，将动画类型选为“Flash动画”，然后在后面的动画URL地址中输入我们上传的Flash动画URL地址，点击“确定”。

　　退出编辑页面，重新打开新发表的日志，此时页面会先弹出Google网站(图4)。

　　然后弹出一个Windows提示窗口(图5)。

　　深度分析

　　上面例子中弹出的窗口或者网页，如果将地址修改成网页木马的地址就是网页挂马了，如果将弹出的信息又修改为“恭喜你，中奖了!”就是网络诈骗了。可见该漏洞的危害是比较大的。

　　导致漏洞出现的直接原因还是Flash，自从它诞生后安全问题就一直没有断过，几乎每个版本都出过或大或小的漏洞。

　　黑客之所以喜欢挖掘Flash漏洞是有原因的，Flash挂马隐蔽性好，允许上传Flash的网站也非常多。

　　此外，Flash还有一些合法的但有安全隐患的功

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!