近年来,随着以youtobe为代表的flash应用的广泛推广,针对flash漏洞的攻击也呈现出快速发展趋势,成为网络安全不可忽视的重要一点,为更多的人所关注和研究。本课题主要研究了flash相关应用程序的安全性,对其相关的应用程序进行漏洞挖掘,并对相应的漏洞进行利用。根据对flash漏洞种类调查研究,通过对漏洞的危害性及涉及范围的分析,漏洞挖掘重点放在挖掘flash文件格式的缓冲区漏洞。本文具体工作包括以下几点:1)对flash文件格式缓冲区漏洞进行分析研究,并对现有flash缓冲区漏洞挖掘技术予以总结,提出flash漏洞挖掘方案。2)利用Fuzzing技术开发具有自动挖掘功能的漏洞挖掘工具swf-Fuzzer。采用自动挖掘方法,利用swf-Fuzzer,通过漏洞调试技术,对flash应用程序进行测试,挖掘出flash缓冲区漏洞。3)利用shellcode技术和heap spray技术对flash缓冲区堆漏洞进行利用,实现了flash漏洞的挖掘和利用。该flash漏洞挖掘方案特点为:通过Fuzzing技术对flash应用程序进行自动挖掘,提高了自动化、智能化的性能,减少了漏洞挖掘时间;通过Degugger技术,调试flash漏洞的调试,判断漏洞类型,提高了漏洞挖掘的准确性;最后使用堆漏洞攻击技术,对flash缓冲区漏洞利用,体现了flash漏洞的危害性。漏洞挖掘是网络信息安全的一个重要研究课题,在网络攻防技术中占有重要组成部分。因此主动发掘并分析安全漏洞,对网络攻防具有重要的意义。