登陆与注册×
两周内自动登陆 忘记密码?


注册

ychytz.com公共信息亭应该允许用户更多地了解公司或政府机构,这就是全部。但是在周六下午,McAfee Foundstone的高级顾问Shanit Gupta展示了他和其他人能够在运行XenApp(以前的Citrix Presentation Server)的系统上映射内部网络的几种方式。 在东海岸计算机黑客会议ShmooCon的演示屏幕上,Gupta展示了运行XenApp的系统中缺少熟悉的工具栏和浏览器框架。我们的想法是,在自助服务终端上,公众只能在单个页面内点击链接。但是如果存在键盘或鼠标,Gupta就能够打开其他站点,从而暴露内部网络。 从Ctrl-H开始,他能够提取浏览器的历史记录。如果历史记录显示没有像谷歌这样的外部搜索引擎,也可以输入Ctrl-O然后在那里输入Google。如果所有其他方法都失败了,还可以按Ctrl-N并打开一个新选项卡,该选项卡将seoroom.cn显示通常的地址栏和导航工具栏。 打开不在公共游览中的网站可能允许攻击者下载和安装NMAP并运行内部网络的端口扫描。如果浏览器支持Javascript,还可以运行Javascript端口扫描程序。 键入Ctrl-P会调出打印机;但是,Gupta指出你也可以保存到那里的文件,同时这样做,看看内部网络。 没有键盘,没问题。 Gupta说只需右键单击任何图像并选择另存为... Gupta的演示过早得出结论,受到会议全面失去互联网连接的阻碍。 Citrix在其网站上表示,在运行XenApp时,“内置端点扫描和策略控制会考虑每个用户的角色,设备特征和网络状况,以确定他们有权访问哪些应用程序和数据。”然而,古普塔表示,这些缺陷最初是在政府机构引起他的注意。使用标准的Internet Explorer键盘热键,Gupta和合作伙伴能够看到该机构的网络内部。 m.tjytht.com