#信服智创#atrust沙箱应用使用问题案例

案例一:

问题描述

用户在沙箱内打开一个web应用系统向系统中上传本地文件，但是上传文件列表显示的是本地磁盘目录而不是沙箱内目录，无法正常上传沙箱内文件，并且可以直接绕过沙箱上传本地文件也存在安全隐患。

处理过程

首先三板斧，重装重启重买（不是），首先指导用户重装一下最新版本客户端，但是问题依旧。

感觉不是一般问题协调400处理，在终端收集了客户端日志判断是个兼容性问题，随后摇了研发远程排查。

研发使用的是procmon分析了相关进程，初步结论是这个平台本地应该有一个服务，浏览器上传文件时会和这个本地服务通信获取盘符路径，本地服务无法拉取到沙箱内的路径导致了问题。具体进程如下：

下一步给出了解决方案：

1、 配置个人空间进程黑名单，将进程enseuse.exe加进去；

2、 将enseuse.exe进程配置到工作空间进程自适应。

具体配置如下：

在程序仓库添加对应进程

在【个人空间管理】-【程序运行管理】，新增程序黑名单

后续重新进行测试就恢复正常了。

原因总结
1. 沙箱内浏览器打开的业务平台点击上传文件时获取的文件夹目录结构是和个人空间enseuse.exe通信获取的；
2. enseuse.exe是通过服务进程easeclientservice.exe拉起的，这个进程启动在个人空间，因此其获取到的文件夹结构是个人空间的目录结构。

案例二:

问题描述

依旧是在沙箱内的一个web应用系统，使用远程维护功能时会有报错。

处理过程

这里实际是同一个用户的问题，当时感觉很相似，但是能力有限不会用工具分析进程，尝试直接问客户远程维护功能是否需要调用本地插件。客户给出了具体的进程名称和通信流程。

于是使用同样的步骤处理对应进程，问题解决。

案例总结
上面两个案例实际都是沙箱内系统本应该和沙箱内进程进行通信才能使用正常，未经过处理的进程默认只在本地电脑运行，导致功能报错；判断到是这类原因后可以尝试将对应进程（使用工具识别或咨询业务系统工程师）加入到个人空间进程黑名单，同时将进程配置到工作空间进程自适应，这样进程会在沙箱内被拉起，确保应用使用正常。