EEfaq论坛-赚客自留地

 找回密码
 免费注册
查看: 7514|回复: 39

Flash Cookie Stuff

  [复制链接]
发表于 2010-4-18 20:22:23 | 显示全部楼层 |阅读模式
据说flash的方法比image tag还有htaccess的方法更安全,我没试过,不怕ban的可以试试~这是专门针对Ebay的,有能力者可以略作修改
设置权限和金币是不想流传太广,大家见谅

flash_cookie_stuffing.zip

14.58 KB, 阅读权限: 20, 下载次数: 24

售价: 100 e币  [记录]

发表于 2010-4-18 20:29:56 | 显示全部楼层
好贵啊,买不起,等我金钻有了,再来看
回复 支持 反对

使用道具 举报

发表于 2010-4-18 20:31:45 | 显示全部楼层
没钱,虽然不懂这个
回复 支持 反对

使用道具 举报

发表于 2010-4-18 20:40:12 | 显示全部楼层
最近epn很流行啊
回复 支持 反对

使用道具 举报

发表于 2010-4-18 20:43:50 | 显示全部楼层
epn早就开始了
回复 支持 反对

使用道具 举报

发表于 2010-4-18 21:09:25 | 显示全部楼层
由于隐私问题,Flash cookie进来成为一个热点安全话题。不过从另一个角度讲,Flash cookie(即本地共享对象)却是一个很好的法庭证据——因为凡是在个人隐私上有问题的东西,都在取证调查上都很有用。本文首先详细介绍Flash cookie的有关基础知识,然后阐述了它在取证分析中的应用,最后给出一个操作Flash cookie的小工具。
一、Flash cookie基础知识

首先,介绍一些Flash cookie方面的基础知识:

◆Flash在互联网上已经非常普及,它不仅提供流式视频,同时还提供富客户端体验。目前,许多流行的站点都依赖于Flash,因此,Flash插件在Internet用户中的安装率极高。

◆Flash标准的本地共享对象本地共享对象允许在用户电脑上的本地Flash实例中存储数据。

◆本地共享对象是作为一些单独的文件来存储的,它们的文件扩展名为.SOL。默认时,它们的尺寸为不超过100kB,并且不会过期——这一点与传统的HTTP Cookie不同。

◆我已经在本地系统上的两处位置发现了.SOL文件,分别是%user profile%\Application Data\Macromedia\Flash Player 和 %user profile%\Application Data\Macromedia\Flash Player\#SharedObjects\\,这里的%user profile%表示用户文件夹目录,在XP 系统上一般为C:\Documents and Settings\\ 。对于Vista系统来说,可能还有留意%user profile%目录下的Roaming文件夹。

◆本地共享对象并不是基于浏览器的,所以普通的用户不容易删除它们。如果要删掉它们的话,首先要知道这些文件所在的具体位置。这使得本地共享对象能够长时间的保留在本地系统上。

二、取证分析

在进行计算机调查取证时,将本地共享对象描述为Flash cookie是比较恰当的,因为它们提供了类似于传统的HTTP Cookie的各种信息。一般情况下,Flash cookie可以提供下列信息:

已访问过的网站

Flash要求按照域名的体系结构分层存储本地共享对象。这样做能够强制每个域名只能在本地系统上最多存放100k数据。从我们的角度来说,这给调查取证工作打开了一扇迅速检查已访问站点的方便之门。

  
图1  显示本地共享对象域的目录清单

要注意的是,基于Flash的广告也能够保存本地共享对象,这一点很重要,因为在一些情况下我们要考虑这些站点是不是用户特意去访问的。本地共享对象的来源是非常明显的(参见图2),但是更进一步地测试或者额外的证据可能必须要进行必要的推断。

  
图2  来自一个Flash广告的本地共享对象

访问站点时所登录的本地用户帐户

我们知道,.SOL文件位于%user profile%文件夹中,而它正好指出了保存该文件时用户所登录的帐户。

访问站点的起止时间

因为.SOL文件是单独存放的,所以我们能够利用文件系统的时间戳来确定该文件的建立和最后一次修改时间。在Windows XP 系统上,我们可以使用访问时间来确定最近读取该文件的时间。通过它,我们可以了解最近一次访问该站点的时间,但是我们必须小心,因为我们尚不明了要求站点读取该本地共享对象的标准。但是大部分情况下,每当访问这些站点的时候,它们就会访问它们存放在用户端的本地共享对象;不过,如果由于某种原因站点没有读取该本地共享对象的话,访问时间就不会改变。

SOL文件的创建时间有可能告诉我们第一次访问该站点的时间。再一次强调,我们无法保证该在第一次访问该站点时必定创建该本地共享对象,所以断定起来有些难度。最佳的说法应该是已知的最初访问该站点的时间。在系统上的其他证据可能印证这确实是第一次访问时间,或者表明还有更早的访问时间。

所以,放回头去在看看图 1,我们可以看到已知的访问mg3.mail.yahoo.com的最早时间是11/27/2008上午1:38,已知的最后一次访问时间为8/17/2009下午5:27,这里的时间都是本地计算机时间。

网站存储的数据

Flash试图通过控制格式并迫使所有的数据都存放成二进制序列来对本地共享对象数据进行混淆处理。也就是说,如果您发现了一个相关文件,那么就不要忽视这个数据区域。我也发现有趣的明文消息,例如天气网站存储的基于文本的位置信息。

三、Flash cookie工具

虽然不推荐作为取证工具使用,因为它要求在一个工作的系统上安装运行,但是Better Privacy Firefox扩展用于在本地系统上发现和清除本地共享对象还是非常不错的。了解法庭证据来最好手段之一是在一个已经知道其行为的系统上做检查,例如在自己的系统上。插件Better Privacy允许您轻松地查看和管理在一个运行中的系统中的本地共享对象。

  
图3  Better Privacy插件的截屏

四、小结

由于隐私问题,Flash cookie进来成为一个热点安全话题。不过从另一个角度讲,Flash cookie(即本地共享对象)却是一个很好的法庭证据——因为凡是在个人隐私上有问题的东西,都在取证调查上都很有用。本文首先详细介绍了Flash cookie的有关基础知识,然后阐述了它在取证分析中的应用,最后给出了一个操作Flash cookie的小工具。


本篇文章来源于 黑客基地-全球最大的中文黑客站 原文链接:http://www.hackbase.com/tech/2009-10-17/57060.html
回复 支持 反对

使用道具 举报

发表于 2010-4-18 22:00:33 | 显示全部楼层
这么好的东西  可惜我现在用不着   先收藏了吧 !感谢分享 !
回复 支持 反对

使用道具 举报

发表于 2010-4-18 22:16:05 | 显示全部楼层
路过   嘿嘿
回复 支持 反对

使用道具 举报

发表于 2010-4-19 10:17:55 | 显示全部楼层
好贵哈,哭
回复 支持 反对

使用道具 举报

发表于 2010-4-19 19:24:03 | 显示全部楼层
看起来不错,就是需要学习学习
回复 支持 反对

使用道具 举报

发表于 2010-4-19 21:01:26 | 显示全部楼层
都是些牛货,谢谢
回复 支持 反对

使用道具 举报

发表于 2010-4-21 18:18:38 | 显示全部楼层
这个不错,可以搞搞
回复 支持 反对

使用道具 举报

发表于 2010-4-27 17:49:01 | 显示全部楼层
Flash Cookies Stuff 都放出来了 看来有更高级 更厉害的 已经在高手中。。。。
回复 支持 反对

使用道具 举报

发表于 2010-4-28 16:55:39 | 显示全部楼层
这个没听过,下载看看
回复 支持 反对

使用道具 举报

发表于 2010-4-28 17:15:13 | 显示全部楼层
国外有下载的
回复 支持 反对

使用道具 举报

发表于 2010-5-2 10:57:06 | 显示全部楼层
没有钱哟...郁闷
回复 支持 反对

使用道具 举报

发表于 2010-5-2 11:50:57 | 显示全部楼层
没钱,虽然不懂这个
回复 支持 反对

使用道具 举报

发表于 2010-5-2 13:07:21 | 显示全部楼层
这回是真的买不起了
回复 支持 反对

使用道具 举报

发表于 2010-5-2 13:16:48 | 显示全部楼层
这个确实贵
回复 支持 反对

使用道具 举报

发表于 2010-5-2 14:47:19 | 显示全部楼层
这个真的很贵啊
呵呵
买不起啊
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 免费注册

本版积分规则

QQ|联系我们|Archiver|手机版|小黑屋|EEfaq论坛

GMT+8, 2024-11-22 07:40

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表