香港高防cdn_防ddos攻击设备_想法-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 高防服务器 > 香港高防cdn_防ddos攻击设备_想法

香港高防cdn_防ddos攻击设备_想法

小墨安全管家 2021-07-22 07:03 高防服务器 89 ℃
DDoS防御

香港高防cdn_防ddos攻击设备_想法

作为XenApp和XenDesktop的安全产品经理,我经常会遇到如此一具咨询题:"在使用citrixxenapp或XenDesktop托管的应用程序后,客户端会留下啥信息?"这通常发生在PCI DSS和HIPAA审核中,咨询题通常是审核"范围"之一答案是没有屏幕或键盘数据被写入持久端点存储这篇文章详细描述了写入端点的小信息,并描述了再现研究的技术。带XenApp和XenDesktop的PCI DSS和HIPAA在托管的XenApp和XenDesktop计算机上运行应用程序,惟独那些驻留在数据中心的托管计算机才干看到受爱护的网络和数据库,同时最后来用户没有到数据库的网络连接,这大大减少了"范围"。安全评估能够集中于潜在的"高损失"领域,而对端点计算机的关注度较低。NetScaler网关模块ICA Proxy提供了网络的分离,惟独ICA/HDX流量才干经过网关。最后来用户机器与主机XenApp或XenDesktop计算机没有IP网络连接,更重要的是,最后来用户计算机与保存信用卡或患者数据的数据库服务器没有IP连接。屏幕和键盘数据被包装在TLS内部,在其进出网关的路径上,所以在要紧公司网络上暴露的风险特别小。这是安全方面的巨大胜利。但审核员必须量化和研究端点数据丢失的潜在风险,这包括对经过"泄漏"从端点计算机的持久客户端存储丢失的潜在数据举行研究。啥数据"泄密"?攻击者是否能够稍后研究端点计算机并恢复PCI或HIPAA数据?这篇文章的其余部分基本上对于血淋淋的细节。啥"泄漏"到端点?Citrix Receiver中有几个客户端组件,DDoS防御,它启动程序,猎取已公布应用程序的列表,并使用户能够使用图标来启动托管应用程序和桌面接收器.exe作为本机接收器,最后来,所有这些"启动器"都会启动一具名为WFCRUN32.exe的程序,该程序本身启动HDX引擎或艺术家,正式名称为ICA客户端(wfic32.exe)。这是我们今天讨论的最终一具部分。这是将服务器屏幕内容显示为假如程序在本地运行,并将客户端键盘和鼠标重定向到主机XenApp或XenDesktop系统。在回答"啥泄露"那个咨询题时,一具复杂的咨询题是,任何真正具体的咨询题的答案都必须依照特定的时刻点或产品版本来衡量。程序员改变了一切!他们不经常如此做,而且大多数时候一切基本上原样的,但间或情况的列表会发生变化,这会让安全人员担心做出大的声明。例如,下面详细介绍一下CEIP数据。它是有意如此做的,然而关于安全人员来讲,在发送回家之前在端点上存储匿名使用数据是一种漏洞。这不是一具严峻的漏洞,但从安全角度来看,这是一具漏洞,这在几年前并不存在。今天我用2017年5月3日win32hdx引擎(wfic32.exe)版本14.8.0.369绘制"啥泄漏"图表。这大概是一具公布的版本,碰巧是在我的主桌面计算机上运行的版本。在下面的几页中,我提供了我用来查看"泄漏"的技术,于是希翼在未来,除了我以外的人能够举行今后的测量…从前,我以写代码为生安全部经理,是的。今天,我回到我的应用程序虚拟化的传统,以及20年来编写设备驱动程序的经验。除去一些旧的技巧,我们能够剖析客户端可执行文件,并观看它在运行时做了啥。请注意,这些都不需要访咨询源代码,甚至不需要反汇编——我们只需运行程序并观看它的工作。步骤1–过程监控来自SysInternals的进程监视器是一具令人难以置信的软件。它监视并记录机器上的所有文件系统和注册表活动。在那个地点下载。从治理员权限,运行procmon.exe程序告诉引擎(wfmon.exe)的活动。此刻该进程尚未运行,但当您启动一具托管应用程序或桌面时,该进程将被执行,procmon将捕获它所做的与磁盘和注册表相关的所有操作。这是过滤器配置。点击"reset"将过滤器状态重置为默认值,接着添加一具规则来跟踪wfic32.exe进程所做的情况。步骤2–启动托管应用程序或桌面在我的例子中,启动了Notepad++作为一具公布的应用程序。它启动,运行,看起来特别兴奋,接着我关闭了它,这终止了会话并最后来杀死了wica32.exe。当托管会话运行时,进程监视器捕获了大量信息!更有效的版本将定义很多过滤器,告诉procmon只监视写操作。我没有那样做,我希翼看到应用程序对文件系统和注册表所做的"所有情况",接着手动将其筛选为只"写入"的内容。第3步–告诉Process Monitor我们已完成捕获按Ctrl-E停止捕获,或单击"文件"、"捕获"取消选中捕获模式。在进程监视器内部,我们需要比默认显示更多的信息包括事件、监控细节除了路径之外,这还包括所需的访咨询、"读"或"写"信息看看捕获的数据这是一具开始的屏幕截图。第四步-把这些过滤到我们能理解的范围内告诉Process Monitor将数据保存到CSV文件"所有事件"! 启动Microsoft Excel打开文件,扫瞄,打开上面的CSV文件。加载为逗号分隔的文件。得到那个吗在研究泄密时,时刻栏是无趣的,于是我们删除它。我花了一分钟的时刻来观看我的应用程序的启动,并花了一分钟的时刻来观看它的运行。今天不需要。进程名和PID(进程ID)始终相同。于是,我们也删除这些列。最终,第一行有标题,这是我们不需要的,于是删除它,CC防御,我们得到一些更易于治理的东西。它仍然有65579行描述每个文件系统和注册表访咨询,于是它还不是特别好,但我们走在正确的轨道上。我们关怀写作!我希翼excel能够用来躲藏所有的读取,但我更爱慕GREP,于是我们需要将工作表挪移到文本文件中。将此版本的电子表格另存为.xlsx。将该版本复制到备份中…将工作表保存到.csv文件并加载到您最爱慕的文本编辑器中。举行一些更改,替换以将逗号转换为大约30个空格,并将所有60K行中的列对齐,以使数据美观有序。如此做大概不需要,但对我来讲,数据更易于查看,即使使用记住的键模式,这花了大约20分钟,防DDoS,很乏味。我们只关怀"写作"当寻觅从服务器到客户端的潜在信息时,DDoS防御,我们只关怀写入客户端的信息。进程监视器捕获所有文件系统和注册表操作。我们需要去除所有被阅读的条目,而绝大多数条目基本上被阅读的。最左边的列列出了捕获的所有"操作"。假如是文件或注册表写入,我们在乎!假如是阅读,我们不在乎。仍然在excel中,将"操作"列的内容复制到文本文件中,例如。未排序.txt接着把所有重复的东西都分类处理掉。排序 已排序.txt统一已排序.txt> 唯一操作.txt上面的工具:sort来自Windows,uniq来自GNUTools。如今有一具已执行的所有操作的列表,但它是一具包含每个操作类的一具条目的最小列表。我错过了这一步,但绝大多数基本上阅读。我们如今有了所有行动的清单。咨询题是,它"写"了吗,不写的地点,我给列表加了个"删除"标签。关闭文件删除创建文件书房间CreateFileMapping删除加载图像删除锁文件删除进程退出删除查询属性信息卷删除查询属性标记文件删除查询差不多信息文件删除查询名目删除查询信息文件删除QueryFullSizeInformation卷删除查询信息卷删除查询名称信息文件删除查询打开删除QueryRemoteProtocolInformation公司删除查询安全文件删除查询信息卷删除查询标准信息文件删除查询流信息文件删除读文件删除RegCloseKey删除RegCreateKey书房间RegDeleteKey书房间再生键删除再生值删除正则键删除雷格雷基删除RegQueryKeySecurity删除RegQueryValue删除RegSetInfoKey书房间正则值书房间设置基信息文件书房间设置处置信息文件研究-文件擦除SetEndOfficeInformation文件研究-设置文件大小TCP连接删除TCP断开连接删除TCP接收删除TCP发送删除TCP TCP复制删除线程创建删除线程退出删除解锁文件单删除蓝色代码书房间将工作表(所有捕获的事件)导出到文本文件(例如。编辑.txt)接着重复执行下面的操作,过滤掉所有读取的捕获事件。findstr/v"关闭文件"编辑.txt> 温度文本复制/y温度文本编辑.txt对上面列出的每个"删除"项重复上述操作注意,捕获文件中记录的内容(编辑.txt)它们是怎么发生的。这有助于我们理解当给定的写入发生时程序在做啥。好吧,我们找到5336件了。Windows安装程序发出的噪音剩下的5212个条目是RegSetInfoKey。Windows安装程序的一堆垃圾。那个API的文档不是特别好,但也许设置了regis上的最终一次访咨询时刻


DDoS防御

当前位置:主页 > 高防服务器 > 香港高防cdn_防ddos攻击设备_想法

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119