chipik Nov 29 2013 at 13:29

Взлом корпоративного портала SAP

9 min

19K

Digital Security corporate blogInformation Security*

+29

Comments 5

Snowindy Nov 29 2013 at 18:02

(Наряду с очевидными дырами) вот что бывает, когда люди пренебрегают практикой «Все изменения в состоянии приложения только через PUT, POST, DELETE».

flyaway Nov 30 2013 at 00:21

>Однако аутентификацию можно обойти: если пользователь сделает запрос, отличный от GET, то его роль пользователя проверяться не будет. Разработчики, как правило, ограничивают доступ к приложению для методов GET и POST, однако иногда забывают про метод HEAD.

Ржунимагу, ынтырпрайзная промышленная система за миллионы денег такая ынтырпрайзная.
Перед таким решетом просто надо ставить nginx с http basic auth, учетки юзеров — из базы сапа, и будет счастье.

chipik Nov 30 2013 at 02:46

Проблема в том, что «ынтырпрайз» решения используют не только http, но и кучу других протоколов и портов соответственно. Прикрыли http(s) — сломают через P4.

flyaway Nov 30 2013 at 11:08

VPN же есть.

alexpaknix Dec 2 2013 at 13:11

Забыл пароль — запустил SecStore_Cr.jar — вспомнил пароль :)

ЗЫ, не актуально, но может быть полезно, тем-кто не любит обновляться годами