一、前言
曾在《
页游安全攻与防》一文中介绍了网页游戏的安全与防御问题,主要包括以下几点:
一、协议安全(swf安全):自动封包 (重点)
二、自动游戏+加速
三、内存安全:内存修改
四、存档安全:存档修改
五、帐号安全/充值安全:盗号/低价充值
而本篇文章旨在介绍页游安全测试中用到的工具(其实从某种程度来说也可以认为是作弊工具),但不限于页游,会扩展到flash应用安全的测试工具以及flash应用安全较好的参考资料。
二、工具
1. 页游安全测试工具
自动游戏:
按键精灵
加速 :变速齿轮GearNT
SWF内存抓取:
SWF Memory Dumper,
SWF Reader收费
SWF反编译:
Sothink SWF Decompiler/
Sothink SWF Quicker 收费,对加密的SWF不行
Action Script Viewer/SWF Revealer Tool(ASV)收费,最有效的反编译工具,支持AS2,AS3,注册用户可以使用ASV的SWF Revealer工具,导出加密(例如使用DoSWF加密)的SWF文件
AS3 Sorcerer 收费,使用ASV反编译引擎
JP ActionScript decompiler(ASDec),可以同时查看反编译AS源码,和对应的字节码bytecode,并可以修改字节码
Flash Decompiler Trillix 收费,对加密的SWF不行
Flare 支持as2
Zlash 支持as2
Show my code 在线反编译工具,支持Zend Guard编码的PHP, JAVA class,SWF,.NET,QR
SWF反汇编:
RABCDAsm 支持as3
Flasm 支持as2
IDA plugins 支持as2,as3
Flash SWF AVM1/AVM2 code flow tracer 俄语,当swf加密没法反编译的情况下可以使用该工具查看bytecode
PBJ文件反汇编:
Pixel Bender Assembler
存档(SOL)编辑:
Minerva
2. Flash APP security Tools
SWF调试:
SWFRETools
flash APP安全检测工具:
HPSWFScan 反编译SWF文件(未加密的SWF文件),查找源码中的安全漏洞,如下所示:
(1)可以通过鼠标右键查看SWF文件的源码,建议从Flex Builder authoring tool build时,不要勾选Include source
(2)硬编码信用卡号、社会保险号(专指美国)、数据库连接字符串(包括MSSQL,Access,Oracle,IBM DB2,MySQL,Sybase,Informix),PGP 私钥
(3) SWF之间通信的安全域问题:Security.allowInsecureDomain(), Security.allowDomain(), LocalConnection.allowDomain(), LocalConnection.allowInsecureDomain()
(4)SWF本地存储(Local storage Objects)的安全问题,检查SharedObject.getLocal()方法的localPath设置
(5)检查ENABLEDEBUGGER标签是否开启,建议发布版禁止远程调试的功能
(6)查找 FlashVars Cross-site scripting漏洞,FlashVars Cross-Site Request Forgery漏洞,需要合理调用allowScriptAccess,allowNetworking,ExternalInterface.call
(7)查找是否正确使用System.security.loadPolicyFile
(8)查找MD5 字符串,SHA-1字符串
(9)查找源码中的URL路径
AMF工具:
pinta AMF service test and debug
Blazentoo an Adobe AIR application that can be used to exploit insecure Adobe BlazeDS and LiveCycle Data Services ES servers
其他:BetterPrivacy 清除sol文件(firefox扩展) FlashFirebug/Flashbug
SWF保护:secureSWF (AS混淆),DoSWF/FPE,
三、有用的网站/文章
security domain,application domain,and more in as 3.0(中文翻译 安全域,应用域)