你所不知道的渗透测试:应用虚拟化的攻防

时间:2014-12-13 11:56:32来源:作者:点击:

Web渗透测试大家都耳熟能详,但是针对应用虚拟化的渗透测试或许大家比较少接触,而且网上也没有相关的资料。作为前沿攻防团队,本期技术专题将结合过往的项目经验,针对应用虚拟化技术给大家介绍一下相关的攻防技术。

首先介绍一下什么是应用虚拟化,其实应用虚拟化是指应用/服务器计算A/S架构,采用类似虚拟终端的技术,把应用程序的人机交互逻辑(应用程序界面、键盘及鼠标的操作等)与计算逻辑隔离开来,服务器端为用户开设独立的会话空间,应用程序的计算逻辑在这个会话空间中运行,把变化后的人机交互逻辑传送给客户端,并且在客户端相应设备展示出来,通俗的说法为“瘦终端”。

目前,主流的厂家有Ctrix,VMWare等,下图为Ctrix的应用虚拟化样例:

通过这种应用虚拟化技术,对于企业来说,能够提高员工办公的效率,增加效益,对于办公人员来说,则可以在实现随时随地的办公,提高了便捷型,可谓是双方得益,然而越便捷的东西,就意味着他的脆弱性越高,而且在部署这类型应用虚拟化的产品时,大部分的工程人员并无安全经验,很多细节的安全问题并未得到重视,TRT在项目过程中遇到的这类型系统基本都是轻而易举的入侵成功。

攻防是一个持续过程,在渗透测试的过程中,我们必须知己知彼才能百战百胜,了解应用系统是很关键的,所以我们还是得简单介绍一下应用虚拟化的工作模式,以Ctrix的XenApp作为例子:

[1]        

您可能感兴趣的文章

无相关信息

文章评论