Új hozzászólás Aktív témák
-
sztanozs
veterán
Felteszem a DB egy IO filter drivert telepít, ami minden file műveletnél meghívódik, viszont csak a figyelt folderek esetében történik tényleges adatátadás. Azt is jó volna tudni, hogy a konkrét hálózati művelet mit takar (célszerű lett volna egy proxy-t is telepíteni a viszgálathoz, nem csak egy DLP cuccot).
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
sztanozs
veterán
Igen - mind a FileSystem Watcher, mint a c++ megfelelője meglehetősen bugos - így a "legegyszerűbb" megoldás a filter driver - az viszont minden IO műveletet megkap és ő dönti el, mivel szeretne foglalkozni.
lionhearted - symlinkeket nem követ, a filesystem watcher csak az eredeti fájlra dob eseményt, ha az megváltozott. symlinkre csak akkor ha symlink 'fizikailag' változik.
MSDN: If an application has registered to receive change notifications for a directory that contains symbolic links, the application is only notified when the symbolic links have been changed, not the target files.[ Szerkesztve ]
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
sztanozs
veterán
válasz újraregelt #47 üzenetére
Van ám SSL-t kibontó lokálisan telepíthető mitm proxy is. Ha már az eredeti cikk írója vette a fáradságot, hogy letöltsön egy resource viewert, és fikázzon egy terméket, akkor igazán lehetett volna alapos is.
Persze fikázáshoz nem kell alaposnak lenni, csak egy tényleges elemzéshez.Amúgy tényleg marha nehét megcsinálni - google keresés első oldala kidobta: sslsplit
[ Szerkesztve ]
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
sztanozs
veterán
válasz újraregelt #52 üzenetére
burp is megcsinálja amúgy - [link]
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
sztanozs
veterán
Simán - ne felejtsük el, hogy a user telepíti a mitm proxy-t a saját tudtával:
1) Szerver oldalon: kliens oldali certificate a legritkább esetben van, ha pedig nincs, akkor a szervernek marhára mindegy milyen kliens csatlakozik.
2) Kliens oldalon: viszonylag ritka a kliens oldali certificate pinning (banki mobil klienseknél, illetve komolyabb biztonsági termékek esetén használják csak). Amennyiben a mitm proxy CA-ja telepítve van a gép Trusted CA listájába, akkor a kliens egyáltalán nem is sír a kapcsolat miatt - mivel érvényes CA-val írták alá az SSL kapcsolat tanusítványát.[ Szerkesztve ]
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
sztanozs
veterán
Ha ez tényleg működiuk is, akkor sok lehetőség nincs a hálózati forgalom sniffelésére...
Bár ha a DB config fájlban tárolja a pinnelt tanusítványt vagy publikus kulcsot (nincs belefordítva az exe-be), akkor van némi lehetőség a trükközésre.[ Szerkesztve ]
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...