一、前言
曾在《頁遊安全攻與防》一文中介紹了網頁遊戲的安全與防禦問題，主要包括以下幾點：
一、協議安全（swf安全）：自動封包 （重點）
二、自動遊戲+加速
三、記憶體安全：記憶體修改
四、存檔安全：存檔修改
五、帳號安全/充值安全：盜號/低價充值
而本篇文章旨在介紹頁遊安全測試中用到的工具（其實從某種程度來說也可以認為是作弊工具），但不限於頁遊，會擴充套件到flash應用安全的測試工具以及flash應用安全較好的參考資料。

二、工具

1. 頁遊安全測試工具
   封包修改： WPE(windows)，charles（收費） ,ServiceCapture（收費）
   自動遊戲： 按鍵精靈
   加速 ：變速齒輪GearNT
   記憶體修改： cheat engine（部落格中有第八關於第九關通關方法）
   SWF記憶體抓取： SWF Memory Dumper, SWF Reader收費
   SWF反編譯：
   Sothink SWF Decompiler/Sothink SWF Quicker 收費，對加密的SWF不行
   Adobe SWF Investigator
   Action Script Viewer/SWF Revealer Tool（ASV）收費，最有效的反編譯工具，支援AS2，AS3，註冊使用者可以使用ASV的SWF Revealer工具，匯出加密（例如使用DoSWF加密）的SWF檔案
   AS3 Sorcerer 收費，使用ASV反編譯引擎
   JP ActionScript decompiler（ASDec），可以同時檢視反編譯AS原始碼，和對應的位元組碼bytecode，並可以修改位元組碼
   Flash Decompiler Trillix 收費，對加密的SWF不行
   SWFWire Inspector/SWFWire Debugger/SWFWire Decompiler
   Flare 支援as2
   Zlash 支援as2
   Show my code 線上反編譯工具，支援Zend Guard編碼的PHP， JAVA class，SWF，.NET，QR
   SWF反彙編：
   RABCDAsm 支援as3
   Flasm 支援as2
   IDA plugins 支援as2，as3
   Flash SWF AVM1/AVM2 code flow tracer 俄語，當swf加密沒法反編譯的情況下可以使用該工具檢視bytecode
   PBJ檔案反彙編：Pixel Bender Assembler
   存檔（SOL）編輯：Minerva
2. Flash APP security Tools

SWF除錯：SWFRETools
flash APP安全檢測工具：HPSWFScan　反編譯SWF檔案(未加密的SWF檔案），查詢原始碼中的安全漏洞，如下所示：
(1)可以通過滑鼠右鍵檢視SWF檔案的原始碼，建議從Flex Builder authoring tool build時，不要勾選Include source
(2)硬編碼信用卡號、社會保險號（專指美國）、資料庫連線字串（包括MSSQL，Access，Oracle，IBM DB2，MySQL，Sybase，Informix），PGP 私鑰
(3) SWF之間通訊的安全域問題：Security.allowInsecureDomain(), Security.allowDomain(), LocalConnection.allowDomain(), LocalConnection.allowInsecureDomain()
(4)SWF本地儲存（Local storage Objects）的安全問題，檢查SharedObject.getLocal()方法的localPath設定
(5)檢查ENABLEDEBUGGER標籤是否開啟，建議釋出版禁止遠端除錯的功能
(6)查詢 FlashVars Cross-site scripting漏洞，FlashVars Cross-Site Request Forgery漏洞,需要合理呼叫allowScriptAccess，allowNetworking，ExternalInterface.call
(7)查詢是否正確使用System.security.loadPolicyFile
(8)查詢MD5 字串，SHA-1字串
(9)查詢原始碼中的URL路徑
AMF工具：
pinta AMF service test and debug
Fiddler / plugin for Fiddler2 web debugger
WebScarab/WebScarab AMF Plugin
Blazentoo an Adobe AIR application that can be used to exploit insecure Adobe BlazeDS and LiveCycle Data Services ES servers
其他：BetterPrivacy 清除sol檔案（firefox擴充套件） FlashFirebug/Flashbug

SWF保護：secureSWF (AS混淆），DoSWF/FPE,

三、有用的網站/文章

OWASP_Flash_Security_Project
flashsec_Tools
Adobe_Tools
creating more secure SWF web applications
security domain，application domain，and more in as 3.0（中文翻譯 安全域，應用域）

protect your flash files from decompilers by using encryption