flash跨站扫描工具

最新推荐文章于 2025-09-06 13:54:56 发布
转载 最新推荐文章于 2025-09-06 13:54:56 发布 · 308 阅读 · 0
文章标签:

#flash #fp #file #buffer #function #脚本

本文介绍了一种用于检测Flash文件中潜在跨站脚本漏洞的自动化脚本。该脚本可以扫描指定目录下的ActionScript (.as) 文件,查找并报告可能利用ExternalInterface.call进行恶意操作的实例。

 

#!/usr/bin/php -q
<?php

/*--------------------------------xy7@80sec.com----------------------------
#Flash文件跨站检测脚本 2010/6/3
#检测过程如下:
提取ExternalInterface.call调用的参数,检查参数是都是直接通过loaderInfo.parameters获取
#使用方法
./scan.php /as代码目录>log
----------------------------------xy7@80sec.com---------------------------*/

set_time_limit(0);

function find($directory)
{
$mydir=dir($directory);
while($file=$mydir->read()){
if((is_dir("$directory/$file"))&&($file!=".")&&($file!=".."))
{
find("$directory/$file");
}
else{
if($file != "." && $file != ".."&&eregi(".as",$file)){
$fd=realpath($directory."/".$file);
$fp = fopen($fd, "r");
$i=0;
while ($buffer = fgets($fp, 128)) {
$i++;
if(eregi("ExternalInterface.call",$buffer))
{
echo "Line".$i.":".$buffer."\r\n\r\n";
preg_match("/\((.*)\)/i", $buffer, $match);
if (strstr($match[1],"("))
{
preg_match("/\((.*)\)/i", $match[1], $newmatch);
echo "再次提取后参数包含 :".$newmatch[1]."\r\n\r\n";
$oldfp = ftell($fp);
fseek($fp, 0);
$p = 0;
while ($newbuffer = fgets($fp, 128))
{
$p++;
if(eregi("loaderInfo.parameters",$newbuffer))
{
//echo "Line".$p.":".$newbuffer."\r\n";
if (strstr($newbuffer,$newmatch[1]))
{
echo $newmatch[1]."存在漏洞\r\n\r\n";

}
}
}
fseek($fp, $oldfp);
unset($oldfp);
} elseif(strstr($match[1],","))
{
echo "多个参数:$match[1]\r\n";
if (strstr($match[1],"loaderInfo.parameters")){
echo $match[1]."直接调用loaderInfo.parameters传递存在漏洞\r\n\r\n";
}
$var_array = array();
$var_array = explode(",",$match[1]);
$oldfp = ftell($fp);
fseek($fp,0);
while ($newbuffer = fgets($fp, 128))
{
if(eregi("loaderInfo.parameters",$newbuffer))
{
//echo "Line".$p.":".$newbuffer."\r\n\r\n";
foreach ($var_array as $value)
{
if (strstr($newbuffer,$value))
{
echo trim($value)."存在漏洞\r\n\r\n";
}

}

}
}
fseek($fp, $oldfp);
unset($oldfp);
}else
{
echo "唯一参数:".$match[1]."\r\n";
if (strstr($match[1],"loaderInfo.parameters")){
echo $match[1]."直接调用loaderInfo.parameters传递存在漏洞\r\n\r\n";
}
$oldfp = ftell($fp);
fseek($fp,0);
while ($newbuffer = fgets($fp, 128))
{
if(eregi("loaderInfo.parameters",$newbuffer))
{
//echo "Line".$p.":".$newbuffer."\r\n\r\n";
if (strstr($newbuffer,$match[1]))
{
echo trim($match[1])."存在漏洞\r\n\r\n";
}
}
}
fseek($fp, $oldfp);
unset($oldfp);
}
}
}
fclose($fp);

}
}
}
$mydir->close();
}
function all()
{
static $count = 1;
echo $count;
$count++;
}
find($argv[1]);
?>
边界扫描测试工具ScanWorks介绍
lsong81的博客
02-11 1142
ScanWorks通过模块化设计、全生命周期测试复用及高效并行处理能力,成为复杂电子系统测试领域的标杆解决方案。其技术优势不仅体现在提升测试覆盖率与速度上,更通过嵌入式诊断和云集成能力,推动制造业向智能化、高可靠性方向演进。对于追求零缺陷生产与快速产品迭代的企业而言,ScanWorks是实现质量管控与成本优化的关键工具
精选资源
AWVS漏洞扫描工具安装包
11-27
业内最先进且深入的 SQL 注入和跨站脚本测试 高级渗透测试工具,例如 HTTP Editor 和 HTTP Fuzzer 可视化宏记录器帮助您轻松测试 web 表格和受密码保护的区域 支持含有 CAPTHCA 的页面,单个开始指令和 Two Factor...
How To Decompile Actionscript Code In Swf
teamojiao的专栏
10-20 252
  H ow T o D ecompile Actionscript Code I n Swf   Author: xy7 [80sec] EMail: xy7 #80sec.com /xuanmumu@gmail.com...
系统架构师大会
sony315的专栏
10-16 5701
http://sacc.it168.com/2.html 演讲主题:大规模社区网站设计经验 内容概要:如何实现支撑数十亿的流量的社区架构?如何保证产品7*24小时的不间断服务?如何处理百亿量级数据的
常用WEB安全漏洞扫描工具集合
幻影浪子
06-15 5251
Web安全漏洞扫描技术是一种用于检测Web应用中潜在的漏洞或者安全风险的自动化测试技术,用于检测Web应用程序中可能存在的漏洞,例如:代码注入、代码泄漏、跨站脚本跨站请求伪造、会话劫持、文件传输等。
漏洞扫描工具汇总
幸福女孩小鲤鱼的博客
07-21 9829
漏洞扫描器可以快速帮助我们发现漏洞,如SQL注入漏洞、CSRF、缓冲区溢出等。下面就介绍几种常用的漏洞扫描工具。 Fortify 代码审计工具Fortify SCA (Fortify Static Code Analyzer),一款软件代码安全测试工具,提供静态源码扫描能力,包含了五大引擎分析系统:语义、结构、数据流、控制流、配置流。分析的过程中与特有的软件安全漏洞规则集进行全面的匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并生成报告。 Burp Suite AWVS AppScan Dependen
漏洞扫描工具AWVS的介绍与使用
zzz6583zz的博客
08-09 1421
Acunetix Web Vulnerability Scanner(AWVS)可以扫描任何通过Web浏览器访问和遵循HTTP/HTTPS规则的Web站点。适用于任何中小型和大型企业的内联网、外延网和面向客户、雇员、厂商和其它人员的Web网站。AWVS可以通过检查SQL注入攻击漏洞、XSS跨站脚本攻击漏洞等漏洞来审核Web应用程序的安全性。主菜单功能介绍:主菜单共有5个模块,分别为Dashboard、Targets、Vulnerabilities、Scans和Reports。
web攻击:XSS跨站脚本
yk10010的博客
02-15 1288
一、浏览器安全 同源策略  影响源的因素:host,子域名,端口,协议  a.com通过以下代码: &lt;script scr=http://b.com/b.js&gt; 加载了b.com上的b.js,但是b.js是运行在a.com页面中的,因此相对于当前打开的页面(a.com)来说,b.js的源就应该是a.com而非b.com 不同于XMLHttpRequest的是,通过src属性加载...
AppScan 扫描工具及使用
zkaqlaoniao的博客
04-26 1745
原名 watchire Appscan ,2007年被IBM收购,成为IBM Appscan。IBM AppScan是一款非常好用且功能强大的Web 应用安全测试工具曾以 Watchfire AppScan 的名称享誉业界,Rational AppScan可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞。
html注入跨站攻击脚本,跨站脚本攻击(XSS)
weixin_39888180的博客
06-23 2120
跨站脚本攻击(XSS)是一种客户端代码注入攻击。攻击者通过在合法的网页中注入恶意代码,达到在受害者的浏览器中执行恶意代码的目的。当受害者访问执行恶意代码的网页时,攻击就开始了。这些网页成为了将恶意代码发送到用户浏览器的工具。通常受到跨站脚本攻击的网页包括论坛、留言板以及可以评论的网页。如果网页将用户的原始输入作为网页内容,那么它很容易受到 XSS 攻击,因为这类用户输入一定会被受害者的浏览器解析。...
网页Flash下载工具及技术解析
weixin_42601702的博客
09-06 810
Flash技术由Macromedia公司于1996年推出,随后迅速成为互联网多媒体内容创作的主流工具。其通过矢量图形、动画、交互逻辑的集成能力,极大地丰富了早期网页的视觉表现与用户体验。进入2000年后,Adobe收购Macromedia,Flash进入新阶段,广泛应用于网页游戏、在线教育、广告展示等领域。然而,随着HTML5的崛起与移动设备对插件的限制,Flash逐步退出主流舞台,但其在Web 1.0至Web 2.0过渡期的历史地位不可忽视。本章将深入剖析其技术演进路径与行业影响。});关键点。
精选资源
漏洞扫描工具Acunettix15.2版本
03-07
Acunetix是一款知名的自动化Web应用安全扫描工具,主要用于检测网站和Web应用程序中的安全漏洞。在15.2版本中,这款工具进一步提升了其功能性和用户体验,尤其对于中文环境的支持,使得更多的中国用户能够轻松使用。...
计算机网络安全web漏洞扫描工具
04-01
Acunetix网络漏洞扫描软件检测您网络的安全性软件介绍: Acunetix开创web应用程序安全...10) Acunetix 检索并分析网站,包括 flash 内容、SOAP 和 AJAX 端口扫描 web 服务器并对在服务器上运行的网络服务执行安全检查。
Acunetix Web Vulnerability Scanner( 简称AwVS )是一款知名的Web网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测
05-03
Acunetix Web Vulnerability Scanner[( 简称AwVS )是一款知名的Web网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。 a)、自动的客户端脚本分析器,允许对Ajax和Web 2.0应用程序进行安全性测试...
基准测试使用BBO-PSO-GA附Matlab代码.rar
最新发布
12-09
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
【无人机路径规划】基于冠豪猪优化算法的三维路径规划模型设计:多目标约束下安全高效飞行路径生成方法 项目介绍 Python实现基于冠豪猪优化算法(CPO)进行无人机三维路径规划(含模型描述及部分示例代码
12-09
内容概要:本文介绍了一个基于冠豪猪优化算法(CPO)的无人机三维路径规划项目,利用Python实现了在复杂三维环境中为无人机规划安全、高效、低能耗飞行路径的完整解决方案。项目涵盖空间环境建模、无人机动力学约束、路径编码、多目标代价函数设计以及CPO算法的核心实现。通过体素网格建模、动态障碍物处理、路径平滑技术和多约束融合机制,系统能够在高维、密集障碍环境下快速搜索出满足飞行可行性、安全性与能效最优的路径,并支持在线重规划以适应动态环境变化。文中还提供了关键模块的代码示例,包括环境建模、路径评估和CPO优化流程。; 适合人群:具备一定Python编程基础和优化算法基础知识,从事无人机、智能机器人、路径规划或智能优化算法研究的相关科研人员与工程技术人员,尤其适合研究生及有一定工作经验的研发工程师。; 使用场景及目标:①应用于复杂三维环境下的无人机自主导航与避障;②研究智能优化算法(如CPO)在路径规划中的实际部署与性能优化;③实现多目标(路径最短、能耗最低、安全性最高)耦合条件下的工程化路径求解;④构建可扩展的智能无人系统决策框架。; 阅读建议:建议结合文中模型架构与代码示例进行实践运行,重点关注目标函数设计、CPO算法改进策略与约束处理机制,宜在仿真环境中测试不同场景以深入理解算法行为与系统鲁棒性。
使用python语言的京东平台抢购脚本
12-09
先看效果: https://pan.quark.cn/s/4f231e33b729 auto-buy-Python-tool 图形界面, 电脑小白也会用, 下载可直接运行! 京东自动购买口罩 实时抢购口罩 工具, 抗击疫情 中国加油! :fire: 点击这里 下载, 解压后可直接运行! 欢迎加星 修复了商品下架后的问题, 更新了交互界面; 修复了可配货商品的判断, 更新了数量调整接口, 更新了是否监控下架商品选项 :star2: 使用指南 :notebookwithdecorative_cover: Tips: 登录一次之后本地会保存登录信息, 重启软件(注意重启之后也行)之后仍然可以记住账号登录信息, 重启之后只需点击"开始监控"就可以登录! 不必重复扫码! 运行界面如下图: interface Update at 2020-3-2: Continuously monitor goods removed from JD.monitorSoldOutGoods Update at 2020-2-15: quantity can be modifiedquantity 填写方式: Tips: 软件启动时带有标准填写格式的默认值, 请留意. 输入商品ID: 比如为: https://item.jd.com/1835967.html 的商品ID为1835967. 输入收件地区编码: 使用Chrome浏览器(如果是其他浏览器请用同样方式打开开发者工具)登录京东并访问商品页, 选择派送地址后按查找开头的讯息, 如下图: AreaID 接受讯息邮箱: 您的接受讯息邮箱. 滑动条: 控制监控时查询的速度(频率). 购买数量: 调整一次购买数量. 是否自动忽略下架商品: 未打...
clustering-results-PathologyGAN.csv
12-09
clustering-results-PathologyGAN.csv
简单的MQTT客户端工具V2.0源码
12-09
代码随便写的,将就看看吧 基于pyqt5开发的,功能简单的mqtt客户端工具 原文https://blog.youkuaiyun.com/weixin_45066336/article/details/122923967
Flash修复工具安装程序简易中文版下载
这种工具能够扫描系统中的Flash Player文件,检查损坏或缺失的部分,并自动修复或重新安装,以便用户可以正常浏览包含Flash内容的网页。 4. 使用Flash修复工具: 根据描述,Flash修复工具的使用相对简单。用户可能...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值