我欲封天耳根小说,大主宰txt全集下载

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

一線工程師的經(jīng)驗之談：ERP安全的部署和實現(xiàn)

【.com 獨家特稿】來自于維基的解釋說：ERP是企業(yè)資源規(guī)劃的英文縮寫，是基于計算機的資源管理系統(tǒng)，包括對有形資產(chǎn)、資金、材料、人力資源的企業(yè)管理軟件。廣義上的ERP涵蓋了很多內(nèi)容，CRM、人力資源管理，財務(wù)管理、生產(chǎn)制造管理等等很多內(nèi)容。不管是ERP、CRM、SRM或者是其他一些類似的商業(yè)應(yīng)用管理軟件，都涉及到安全問題，因為他們存儲了非常重要的業(yè)務(wù)數(shù)據(jù)，這些應(yīng)用如果存在漏洞的話，都會對企業(yè)造成重大的經(jīng)濟損失。

創(chuàng)新互聯(lián)建站是一家網(wǎng)站設(shè)計公司，集創(chuàng)意、互聯(lián)網(wǎng)應(yīng)用、軟件技術(shù)為一體的創(chuàng)意網(wǎng)站建設(shè)服務(wù)商，主營產(chǎn)品：響應(yīng)式網(wǎng)站建設(shè)、品牌網(wǎng)站建設(shè)、成都全網(wǎng)營銷推廣。我們專注企業(yè)品牌在網(wǎng)站中的整體樹立，網(wǎng)絡(luò)互動的體驗，以及在手機等移動端的優(yōu)質(zhì)呈現(xiàn)。做網(wǎng)站、網(wǎng)站設(shè)計、移動互聯(lián)產(chǎn)品、網(wǎng)絡(luò)運營、VI設(shè)計、云產(chǎn)品.運維為核心業(yè)務(wù)。為用戶提供一站式解決方案，我們深知市場的競爭激烈，認真對待每位客戶，為客戶提供賞析悅目的作品，網(wǎng)站的價值服務(wù)。

一、ERP是安全的嗎？

關(guān)于ERP的安全，一直以來都缺少足夠的關(guān)注。在我接觸的客戶中，通常他們會對ERP安全持有三個態(tài)度:

1、第一個觀點：ERP的業(yè)務(wù)應(yīng)用程序都在內(nèi)部網(wǎng)絡(luò)里，因此是可信的。持有這種觀點的人絕大多數(shù)是業(yè)務(wù)層面的高管，而非IT部門的主管。實際情況是，除非你還在大型機時代，不然的話你一定需要和別人互聯(lián)。分支辦事處、客戶和供應(yīng)商，以及銀行、銀聯(lián)都會在你的網(wǎng)絡(luò)里有接口，而且很多員工的辦公電腦都可以連接到互聯(lián)網(wǎng)，這就又多了一個高風(fēng)險的互聯(lián)網(wǎng)通道。我們在google上輸入inrul:sap，就可以看到很多使用sap的內(nèi)部頁面。再比如圖1，我們在一個shado的搜索引擎上，輸入erp，可以輕易的搜索到很多國家的erp服務(wù)器，包括他們的ip，中間件，開發(fā)語言等信息。

圖1 利用搜索引擎得到的ERP服務(wù)器信息

2、第二個觀點：ERP是開發(fā)商的問題。持有這種觀點的人認為，ERP的安全問題，開發(fā)商應(yīng)該在設(shè)計之初就充分考慮到，并且確保了安全，持有這種觀點的人一般都是對安全不太了解的IT主管。從技術(shù)的角度來說，開發(fā)商應(yīng)該對他程序的錯誤和架構(gòu)負責(zé)。但是，默認/不安全的配置、人為因素、補丁管理、策略和過程則是用戶自己的問題。換句話說，即使代碼是百分百安全的，在實施部署、日常運維中，你還是有很多機會可以犯錯。

3、第三個觀點：業(yè)務(wù)應(yīng)用是內(nèi)部的，而且非常具體，黑客不可能了解結(jié)構(gòu)和用途。持有這種觀點的人一般認為，系統(tǒng)都在公司內(nèi)部運行，而且使用的平臺也不是windows這種黑客所熟知的，因此他是封閉、隱藏的世界，因此可以高枕無憂。

真的可以高枕無憂嗎？第一，越熱門的產(chǎn)品越容易被黑客研究，從而招致更多的攻擊，因為一旦攻擊得手，其可復(fù)制性很大，可以獲得更多戰(zhàn)果。大家熟知的windows就是在這種攻防對抗中慢慢健壯起來的。國內(nèi)現(xiàn)在的ERP市場，幾個大型廠商的占用率非常高，這就提供了研究攻擊的土壤。其二，ERP在過去幾年的發(fā)展中，我們可以清楚的看到，企業(yè)發(fā)展壯大之后，不可避免的具有地域擴張的需要。所以它越來越依賴于互聯(lián)網(wǎng)運行，即使現(xiàn)在沒有，將來也會有，等到那個時候再來考慮安全問題，已經(jīng)積重難返了，整改的代價會非常高。第三，不管是供應(yīng)商還是用戶，對安全的防御能力還停留在3-5年前的水平，買個防火墻，裝個殺毒軟件。他們不知道攻擊早已經(jīng)從2-4層轉(zhuǎn)移到應(yīng)用層攻擊上了。

那么，ERP的主要安全問題是什么呢？根本原因有三個，第一就是ERP具有復(fù)雜的結(jié)構(gòu)，系統(tǒng)越復(fù)雜，安全問題越難處理。也就是安全界常說的complexity kills security ，復(fù)雜性殺死安全。第二，安全層次覆蓋網(wǎng)絡(luò)、應(yīng)用等各個層面。第三，管理員擔(dān)心打補丁，會造成系統(tǒng)出問題，所以絕大多數(shù)ERP系統(tǒng)里都存在著很多漏洞。所以，從erp的安全生命周期來上來說，想要保證整體安全，要從兩個方面來考慮，開發(fā)安全，實施部署的安全。

圖2 ERP安全生命周期框架#p#

二、開發(fā)安全

圖3 開發(fā)安全框架

這個圖，實際上是針對程序員來說的，開發(fā)的安全。中間是最重要的數(shù)據(jù)。開發(fā)安全分兩塊，一個是代碼漏洞，一個是前端漏洞。所謂前端漏洞，就是整個erp的前臺，與用戶交互的地方。

1、代碼安全

在代碼的漏洞上，根據(jù)常見的ERP安全問題，我們做了一個TOP10的排名。

圖4 開發(fā)代碼漏洞TOP10

例一：跨站。sap有很多跨站問題，最新發(fā)現(xiàn)的一個是在5月份，在RequestParts.htm頁面上，有漏洞的變量是sap-ffield，這個頁面是sap和互聯(lián)網(wǎng)的接口交互的地方，通過這個跨站漏洞，可以繞過sap的跨站過濾，獲取管理員的cookie。

 
 
 
 
  
  
  
  提交：/sap(bD1lbiZjPTAwMA==)/bc/bsp/sap/icf/RequestParts.htm?sap-ffield=aaa=

例子中使用簡單的onerror，一個標準的事件屬性，就可以繞過sap的過濾機制，由此可見sap的跨站過濾，應(yīng)該是非常脆弱的。而且這個頁面比較關(guān)鍵，它是互聯(lián)網(wǎng)交互的，所以如果你google去搜這種頁面，就有機會跨站，拿到管理員cookie，也就是說，你完全可以遠程滲透sap。#p#

例二：信息泄露問題。

在Oracle財務(wù)軟件的/pls/DAD/find_web.ping和/OA_HTML/jsp/fnd/fndping.jsp這兩個頁面上都有這個問題，這兩個頁面記錄了連接的錯誤信息，而且錯誤信息非常詳細，幾點幾分，Oracle的http服務(wù)器Apache某某版本，與某IP的連接出現(xiàn)問題，在Apache的日志中記錄了這個問題，Apache的日志路徑是什么，可以使用哪些debug命令來調(diào)試確認等等一系列信息。

例三：錯誤的訪問控制/遍歷

這個問題是NETWAVER里的，NETWAVER是sap的基本平臺，sap所有的新產(chǎn)品都搭建在這個平臺上。在NETWAVER里有個rfc庫，庫里有很多函數(shù)可以被調(diào)用，但是誰可以調(diào)用這些函數(shù)，只有幾個賬戶可以調(diào)用。其中一個賬戶是SAPCPIC，他有個默認密碼是admin。這個賬戶不是在線用戶，就是說他不能直接登錄，它就是用來執(zhí)行rfc兼容命令的，可以做遠程函數(shù)調(diào)用。使用這個權(quán)限你就可以獲得共享內(nèi)容。然后你還可以寫idoc，這個idoc是sap的數(shù)據(jù)交換碼，比方說你的商品價格，我就可以通過這個權(quán)限，把你的商品價格取出來，或者把你的商品價格改掉放進去。這個攻擊就是利用這個賬戶，因為這個賬戶一般人根本不會用到，甚至都不知道密碼是什么。

圖5 NETWAVER中的錯誤訪問控制/遍歷漏洞

2、前端安全

圖6 開發(fā)中的前端安全漏洞TOP10

這里都是和用戶交互的地方，比如BS結(jié)構(gòu)的瀏覽器頁面，信息的傳遞都在這里。所以這里的風(fēng)險級別都比較高，也是很多都可以遠程去做的。#p#

例一：緩沖區(qū)溢出

該例參見宇文先生在09年的《大型企業(yè)之患！SAP安全之攻擊客戶端》這篇文章。http://netsecurity./art/200909/150135.htm，在第二段里，他提到了緩沖區(qū)溢出攻擊的一個實例。

例二：默認密碼

erp里因為賬戶、權(quán)限很多，也記不住，就有個很壞的習(xí)慣，把密碼寫在程序里，而且大多數(shù)也不怎么加密，嗅探就可以，而且呢，這種寫法的還大多數(shù)都是連接數(shù)據(jù)庫，你可以很容易成為他的dba。關(guān)于這點，我們在后面會詳細提到。

三、安全的部署和實現(xiàn)

圖7 安全的部署、實現(xiàn)框架圖

在這一部分，是比較通用的：底層的網(wǎng)絡(luò)，然后上面跑的系統(tǒng)，數(shù)據(jù)庫、應(yīng)用，在這里，他也有前端的漏洞問題，這就比開發(fā)安全要復(fù)雜一些。

1、網(wǎng)絡(luò)層漏洞

圖8 網(wǎng)絡(luò)層漏洞TOP10

網(wǎng)絡(luò)漏洞，這個大家都見的多了，一般的安全加固也在做這方面的事情。

例：監(jiān)聽SAP未加密的通信

在SAP網(wǎng)絡(luò)中，使用

tcpdump -n -i eth0 'tcp[13] & 3 != 0 and (( tcp[2:2] >= 3200

tcp[2:2] < 3300) > or 5 ( tcp[2:2] >= 3600 tcp[2:2] < > 3700))'

進行監(jiān)聽，這個例子是監(jiān)聽tcp的3200,3600幾個高端端口，這是NETWAVER的默認專用端口，在這個例子里，我們發(fā)現(xiàn)了HR系統(tǒng)的連接密碼，權(quán)限是最大權(quán)限，可以獲得hr系統(tǒng)的所有數(shù)據(jù)。#p#

2、操作系統(tǒng)漏洞

圖9 操作系統(tǒng)層漏洞TOP10

在erp里面有個很大的問題就是默認密碼，那在這一層上，實際上也有很多可利用的地方。這里列出了存儲各類密碼的不同路徑，這是從sap手冊上找到的，我相信大多數(shù)人不會改這些東西，你只要能夠訪問這些文件，你就可以拿到相關(guān)密碼。雖然有的密碼是加密的，但是他們的加密機制比較弱。

例：默認敏感文件

數(shù)據(jù)庫文件（數(shù)據(jù)，加密的Oracle、SAP密碼）

路徑：/oracle/ /sapdata/system_1/system.data1

SAP配置文件（加密的密碼）

/usr/sap/ / /sec/*

/usr/sap/ / /sec/sapsys.pse

Configtool配置文件（加密的數(shù)據(jù)庫密碼）

\usr\sap\DM0\SYS\global\security\data\SecStope.properties

\usr\sap\DM0\SYS\global\security\data\SecStope.key

J2EE Trace文件（明文密碼）

/usr/sap/ / /j2ee/cluster/dispatcher/log/defaultTrace.0.trc

圖10，在這個文件里抓到的用戶名和密碼

ICM（加密密碼）

\usr\sap\DM0\SYS\exe\uc\NTI386\icmauth.txt #p#

3、數(shù)據(jù)庫漏洞

圖11 數(shù)據(jù)庫漏洞TOP10

例一：Oracle開啟不必要的服務(wù)

UTL_HTTP：UTL_HTTP可以讀取Oracle里面的網(wǎng)頁源碼，這個參數(shù)比較危險，如果你學(xué)過oracle注入的話，這個參數(shù)是很常見的Oracle注入測試點，后來Oracle發(fā)現(xiàn)了這個問題，在11的版本里頭，開始提供針對這個參數(shù)的訪問控制，但是有多少人知道呢？又有多少人知道，而且會去進行訪問控制呢？我看了很多的安全加固手冊，對這個完全沒有提及。

UTL_TCP：看名字你就知道，它是建立tcpip連接的，可以跨越數(shù)據(jù)庫領(lǐng)域?qū)ν馔ㄐ?。他的出名是因為Voyager這個蠕蟲，這個蠕蟲會把dba的權(quán)限授給public，然后利用UTL_TCP去網(wǎng)上下載其他病毒，再然后把數(shù)據(jù)庫的密碼發(fā)送郵件給一個指定郵箱，06年1月份的時候，這個病毒大規(guī)模爆發(fā)，直到6月份，Oracle才發(fā)布了補丁。這些默認安裝的服務(wù)，都是可以利用的。

例二：MSSQL的Master..xp_dirtree _\\fakesmb\sharee'

這是列目錄，找共享，是常見的攻擊命令，也是sql注入的常見用法，可以列出你根目錄，再然后找到你的數(shù)據(jù)庫，把它down下來慢慢破解。

例三：使用低權(quán)限 Oracle 數(shù)據(jù)庫賬戶得到 OS 訪問權(quán)限

這個例子在互聯(lián)網(wǎng)上廣為流傳，文章名字就叫做《使用低權(quán)限 Oracle 數(shù)據(jù)庫賬戶得到 OS 訪問權(quán)限》。其原理：一般情況下，你去連接Oracle的SMB控制臺，都需要DBA權(quán)限，但是還是有辦法來獲得權(quán)限的，那么這里就利用了Oracle的一個漏洞，在Oracle里面，任何用戶都可以創(chuàng)建一個文本索引，并且發(fā)送文本查詢。這就是這個漏洞的利用基礎(chǔ)，然后你就能讀到服務(wù)器上的遠程共享，再通過遠程共享，竊取你這臺服務(wù)器的賬戶。

4、應(yīng)用漏洞

圖12 應(yīng)用漏洞TOP10

應(yīng)用漏洞實際上就和日常運維有很大關(guān)系了，比較危險的也是前3名，補丁，默認密碼，權(quán)限設(shè)置。#p#

例一：默認密碼

圖13 默認密碼

這里的SAP和DDIC是超級管理員，TMSADM是用來做通信管理的，SAPCPIC這個說過了，是rfc遠程調(diào)用的，EARLYWATCH類似與日志審計賬戶。他們都有自己的初始密碼，除了超級管理員的密碼可能被改，其他被改的可能性不大。

5、前端漏洞

圖14 前端漏洞TOP10

例：未加密

圖15 缺少加密

sap怎么傳輸密碼的呢，他有一個自己的協(xié)議叫DIAG，把數(shù)據(jù)包走diag傳過去，因為他覺得diag是私有格式，所以認為很安全，密碼就是簡單的壓縮一下傳過去，但是這是可以被解壓的，數(shù)據(jù)加密也是這樣。那怎么解決呢？SNC，sap的一個身份驗證機制，4.0版本以上開始提供。

webgui，這個對密碼用了base64編碼，簡單的說，base64根本就不能算是個加密，它的主要作用也不是用來加密，它只能說，把密碼變成人類不可直接讀的文件，base64很容易破解?，F(xiàn)在只有電子郵件才用它，因為它能保證數(shù)據(jù)在很多傳遞過程中不會出錯。所以這個密碼很容易就破解了，而且網(wǎng)上有很多工具。

RFC，這個我們說過了，遠程調(diào)用的函數(shù)庫，他的密碼加密是異或運算一個已知的值，你知道知道這個值，你就非常輕松的運算出來明文，就算你不知道這個已知的值，如果他的密鑰空間不夠大，出現(xiàn)重復(fù)，仍然可被破解。無線的密碼破解，其實也是和這個原理差不多，就是不斷抓包，抓到一定數(shù)量時候，他就會有重復(fù)，然后破解。

Visual admin的控制臺密碼加密，用的是自己的專有算法，不過這個算法在08年前被破了，但是不好利用。

mobile的admin控制臺：無加密。

【.com獨家特稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請注明原文出處及出處！】

【編輯推薦】

對項目管理在ERP實施中的應(yīng)用描述
中小企業(yè)ERP系統(tǒng)選型四個標準分析精簡版
項目管理在ERP實施中的應(yīng)用哪些方面需注意
選擇制造業(yè)ERP軟件哪些問題你最好詢問一下？

文章題目：一線工程師的經(jīng)驗之談：ERP安全的部署和實現(xiàn)
網(wǎng)頁地址：http://m.fisionsoft.com.cn/article/ccsdjig.html

新聞中心

其他資訊