浅谈Flash应用程序漏洞挖掘要点与利用分析.pdf

I．研发展…………．

浅谈Rash应用程序漏洞挖掘要点与利用分析

‘

宜春职业技术学院郭姗姗

【摘要】当前，Flash漏洞严重威胁了Web$统，本文重点分析了常见~Flash漏洞，并就Flash满洞挖掘技术及其利用进行了探讨，以确保Flash在网络应用中更安全、更可

靠。．。

【关键词】FIash满洞；漏洞挖掘技术；漏洞利用

当前，网络安全已经成为社会各界的析。技术主要包括词法、数据流及控制流等分

关注热点，根据网络安全统计显示，近些2．FIash漏洞挖掘技术与利用析，其中，数据流分析技术常用于编译过

年来，网络漏洞的数量呈显著上升趋势，简称为Flash缓冲区漏洞，缓冲区为程中，其可以从程序代码中对程序语义信

且新漏洞从公布到被利用所需的时间也在程序运行过程中在系统中申请到的一段连息进行收集，并利用代数方法对编译过程

日趋缩短，黑客通过分析所发布漏洞信续性的内存，其对给定类型数据进行了保的变量定义及使用进行明确。该技术适用

息，能够在极短时间内对这些漏洞进行利存，缓冲区溢出指的是当系统向缓冲区内于优化编译，验证、测试、调试程序，对

用，此外，黑客善于挖掘利用某些还没有进行数据位数填充时超出了缓冲区自身容编程环境进行串行等；控制流分析技术主

公布的漏洞，借以发动攻击或将漏洞资料量，所溢出的数据对合法数据进行了覆要以基本块和控制流图两大实体为基础；

出售，以达到经济目的。盖。词法分析技术不仅包括编译器语法分析，

随着Flash应用的逐步推广，对Flash理想状态下，程序检查数据的长度要还包括语义和语法分析，通过对代码词法

漏洞的攻击也迅速增加，并成为当前网络求不能输入超出缓冲区长度的字符，但多进行分析，从特征库里将感兴趣内容抽取

安全不容忽视的重要方面，但有关Flash漏数程序都假设数据的长度同所储存空间相处理，并对上下文进行分析，针对存在问

洞分析与研究仍相对滞后，因此，必须加互匹配，为该漏洞埋下安全隐患。该漏洞题的位置及时进行报警，该技术实现了自

强Flash应用程序漏洞挖掘技术研究，保障十分常见，而且危害极大，通过溢出破坏动化检测，且拥有较快的检澳9速度，但复

Flash应用的安全性。应用程序的堆栈，导致程序开始执行其他杂程序属性分析时容易出现误报等情况。

1．FIash安全漏洞指令，实现攻击目的。2．3Flash安全漏洞的利用

所谓的“安全漏洞”，主称为系统脆针对该类型漏洞，现有漏洞挖掘技术最为常见的Flash缓冲区溢出攻击即

弱性，简称为“漏洞”，是指计算机系统包括二进制比对、源码审核等技术。在字符串中融入代码植入和活动纪录等技

设计及实现软、硬件，协议及安全策略过2．1二进制比对技术术。攻击者在Flash文件中对可供溢出自

程中所存在的缺陷。黑客可利用安全漏洞该技术适用于挖掘已知漏洞，因此，动变量进行了定位，利用Flash软件对应用

获取系统额外权限，实现其访问权限的提也被认为是漏洞分析技术。由于公告中常程序传递大量的字符串，导~Flash缓冲区

高，导致系统安全性遭到不同程度的破常不会指明安全漏洞的实际位置及产生原溢出，不仅改变了活动纪录，还将代码成

坏。因，因而难以对漏洞加以利用。功植入，植入代码与缓冲区溢出并非必须

漏洞针对的是