Flashhilfe.de - Flash Community

security php swf

 


AntwortenRegistrieren Seite1  

fevzi#1
Benutzerbild von fevzi
Beiträge: 155
Wohnort: Saarbrücken
Registriert: Feb 2006

26.01.2009, 16:03

ich finde das thema recht interessant und habe mal recherchiert...
dabei bin ich auf eine klasse gestossen (die ich jetzt auch benutzen). sie maskiert z.b den javascript part.
das heisst. auch externe JS dateien werden maskiert. lagert man den object/embed part aus dem HTML in das Javascript, benutzt ausserdem noch eine session verwaltung und diverse andere sicherheitsrelevanten mechanismen, wie das verhindern des cachens durch proxies und clients, wird es ziemlich schwer, auch nur zu ahnen wo sich die swf datei wirklich befindet.  hier ein beispiel. das ganze ist  vereinfacht dargestellt.

die start php datei..man sieht, aufruf der klasse, angabe der JS datei. und im html part ein funktionsaufruf.
PHP:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
<?php 
session_cache_limiter
('nocache');
session_start();
?>
               
<?php
require_once('class.SJS.php');

$sjs = new SJS('function.inc.js');
$sjs->Assign();

?>
<html>
<head>
<title>Words</title>
</head>
<body>
<table width="100%">
    <tr>
        <td align="center" valign="middle">
            <table>
                <tr>
                    <td>
                       <script language="javascript" type="text/javascript">                 
                           writeFlash();
                        </script>
                    </td>
                </tr>
            </table>
        </td>
    </tr>
</table>
</body>
</html>


hier der javascript part...
ActionScript:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
function writeFlash() {
var swf ='<object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000"'
                                + 'width="663" height="507"'
                                + 'codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab">'
                                + '<param name="movie" value="labelbuilder.swf">'
                                + '<param name="play" value="true">'
                                + '<param name="loop" value="false">'
                                + '<param name="quality" value="best">'
                                + '<param name="menu" value="false">'
                                + '<embed src="labelbuilder.swf"'
                                + 'width="663" height="507"'
                                + 'play="true"'
                                + 'loop="false"'
                                + 'quality="best"'
                                + 'menu="false"'
                                + 'type="application/x-shockwave-flash"'
                                + 'pluginspage="http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash">'
                                + '</embed>'
                                + '</object>';
                                document.write(swf);
}


und hier die quelltext ausgabe im browser.

PHP:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
<?
               
<script type="text/javascript" src="SJS/function.inc.js.php?SJSToken=ce812160a2aeaded7325d7af79744b97"></script><html>
<head>
<title>Words</title>
</head>
<body>
<table width="100%">
    <tr>
        <td align="center" valign="middle">
            <table>
                <tr>

                    <td>
                       <script language="javascript" type="text/javascript">                 
                           writeFlash();
                        </script>
                    </td>
                </tr>
            </table>
        </td>
    </tr>
</table>
</body>

</html> 
?>


auf jedenfall ein interessanter ansatz denke ich.

gruss
fevzi

ps: die klasse gibts über pm.
function foo();
Werbung
Beiträge: 0
Registriert: Feb 2016


badskill#2
Benutzerbild von badskillFlashhilfe.de Moderator
Beiträge: 5285
Wohnort: Bernau (bei Berlin)
Registriert: Nov 2002

26.01.2009, 16:14

Hm,
ich bin da sehr skeptisch, ob das auch so klappt. Hast du einen Online-Link dazu, wo man sich das mal live anschauen kann?
fevzi#3
Benutzerbild von fevzi
Beiträge: 155
Wohnort: Saarbrücken
Registriert: Feb 2006

Themenautor/in

26.01.2009, 16:35

hier mal die testseite..im cache habe ich noch nicht rumgewühlt..*lach
[url=http://www.hrom.de/test2/connect.php][/url]
function foo();
badskill#4
Benutzerbild von badskillFlashhilfe.de Moderator
Beiträge: 5285
Wohnort: Bernau (bei Berlin)
Registriert: Nov 2002

26.01.2009, 17:02

Hier ist deine swf:
http://www.hrom.de/test2/labelbuilder.swf
Hat ganze 10 Sekunden gedauert, das herauszufinden.
Werbung
Beiträge: 0
Registriert: Feb 2016


fevzi#5
Benutzerbild von fevzi
Beiträge: 155
Wohnort: Saarbrücken
Registriert: Feb 2006

Themenautor/in

26.01.2009, 18:35

darf ich wissen, wie du es rausbekommen hast ? bin echt neugierig !
beschäftige mich auch zum ersten mal damit.
und würdest du es nochmal probieren bitte ? ich hab eine modifikation gemacht...
echt spannend badskill, ich habe jetzt meinen persönlichen hacker :-)

gruss
function foo();
Geändert von fevzi am 26.01.09 um 18:36 Uhr
badskill#6
Benutzerbild von badskillFlashhilfe.de Moderator
Beiträge: 5285
Wohnort: Bernau (bei Berlin)
Registriert: Nov 2002

26.01.2009, 18:43

Deine swf liegt jetzt hier:
http://www.hrom.de/test2/tmp/b5175889919b1a9f9addf481e339f2dd.swf

Rausgefunden hiermit:
Live HTTP Headers

Nachtrag:
Es ist übrigends auch kein Problem, mir das Javascript, was versteckt werden soll, mir anzeigen zu lassen.
Geändert von badskill am 26.01.09 um 18:52 Uhr
fevzi#7
Benutzerbild von fevzi
Beiträge: 155
Wohnort: Saarbrücken
Registriert: Feb 2006

Themenautor/in

26.01.2009, 21:43

so badskill, letzter versuch..habe mir das teil auch installiert...livehttpheaders..
bisher sehe ich in der ausgabe nichts...sieht gut aus...das heisst ja aber nichts...:)
ist online..

gruss
function foo();
badskill#8
Benutzerbild von badskillFlashhilfe.de Moderator
Beiträge: 5285
Wohnort: Bernau (bei Berlin)
Registriert: Nov 2002

26.01.2009, 21:50

Soviel dazu ;)
http://www.hrom.de/test2/sw/labelbuilder.swf
fevzi#9
Benutzerbild von fevzi
Beiträge: 155
Wohnort: Saarbrücken
Registriert: Feb 2006

Themenautor/in

26.01.2009, 23:40

haha :-)
ok ich belasse es mal dabei...

gute nacht
function foo();

AntwortenRegistrieren Seite1  

Schnellantwort

Du musst registriert sein, um diese Funktion nutzen zu können.

 
Ähnliche Beiträge zum Thema
Partner Webseiten: art-and-law.de  Mediengestalter.info   php-resource.de   phpforum.de   phpwelt.de   Pixelio.de   Scubacube.de  
Haftungsausschluss   Datenschutzerklärung   Hier Werben   Impressum
© 1999-2019 Sebastian Wichmann - Flashhilfe.de