Недавно парнями из нашего исследовательского центра Positive Research было тихо опубликовано расширение для Whireshark, позволяющее раскодировать трафик SAP DIAG (протокол, используемый клиентом SAP GUI для работы с системой). Протокол, как известно работает практически plain-text, но слегка закодирован. С помощью утилиты можно анализировать трафик и, в том числе, "выдергивать" пароли пользователей.
Примечательна история публикации. Мы раскодировали SAP DIAG (а так же как и SAP CODVN A-G) и успешно встроили их в MaxPatrol, для проверки стойкости паролей (offline и online, в режимах Audit и Pentest соответственно).
Однако, по причине того, что текущая реализация содержит ряд ошибок уровня проектирования - отписали в SAP и решили не разглашать. Однако в сентябре парни из SensePost опубликовали SAP DIAG Proxy SAPProx и security by obscurity опять дала течь.
В результате решили опубликовать и свои результаты.
Прошу любить и жаловать.
http://ptresearch.blogspot.com/2011/10/sap-diag-decompress-plugin-for.html
Естественно - утилита только для демонстрационных целей и легального использования.
Еще события от Positive Research:
http://sgordey.blogspot.com/search/label/research
2 комментария:
http://dl.packetstormsecurity.net/papers/general/sniffing_diag.pdf
2009 год, дексомпресс диага)
"Теоретически, разницы между теорией и практикой нет" :)
С другой стороны, цитируя коллег из DSec
"Теоретическая возможность декодирования данных была известна в узких кругах давно, но практических примеров, кроме перехвата паролей, не было в публичном доступе."
http://erpscan.ru/press-center/press-release/erpscan-warns-about-new-vulnerabilities-of-diag-protocol-in-sap/
Отправить комментарий