科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道实战ERP系统攻击

实战ERP系统攻击

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

基于我们以前的工作,当一家大型政府机构寻找一个独立第三方来对一个大型ERP部署(超过10万名终端用户)实施安全评估时,我们的名字——Pivot Point Security——被选中了。

作者:techrepublic.com.com 2006年12月29日

关键字: ERP 加密 网络管理 安全管理 企业内部网 漏洞管理

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共2页)

基于我们以前的工作,当一家大型政府机构寻找一个独立第三方来对一个大型ERP部署(超过10万名终端用户)实施安全评估时,我们的名字——Pivot Point Security——被选中了。

通过和PM/QA制造商协调,我们向机构的执行管理团队保证该计划将达成重要的安全目的。因此我们的努力集中于提供保证上,保证他们的ERP能适当的确保敏感雇员数据安全(举例来说,薪水册,社会保险号等)。

该合约由下述部分组成:一个全面的安全评估,包括一个漏洞评估,以及对系统和程序运行所在子网的渗透测试,对管理程序的网络的渗透测试,以及对程序自己本身的安全测试。我们也执行一个控制审核,审核那些相信对达到秘密目的非常重要的控制。

准备起跑?
在运行了一个针对程序所在子网的漏洞评估后,我们整个团队开始坐下来研究数据,并阐明我们的渗透测试计划。注意漏洞评估数据是我们通常很典型的做法,以帮助我们识别何种漏洞组合能提供最可能的路径,从而完成渗透测试的目标——在本例中,则是访问机密数据。子网和系统看起来非常的安全。我们挑出了WEB服务器以及一些网络设备,因为它们看起来可能有一些潜在的漏洞。不过,我们还没乐观到认为我们能够“直接攻入”该程序/数据。

基本上,在直接存取不可能的情况下,目标就变成了获得系统的存取权限以及系统地逐步增强优先级,这样我们可以通过最终获得系统管理员权限来控制系统。这会给予我们非常丰富的选择,包括:

  • 从注册表中释放加密口令的能力。

  • 对敏感数据或应用软件的权限

  • 一个跳板系统,可用于攻击其他系统。通常适当位置的技术控制比“信任的”系统更低。

  • 修改系统安全功能,以便通过后门进入系统的能力。

  • 在系统中植入按键记录器,以便秘密记录用户行动的能力

    这些选择提供了逐步提高特权级的能力,直到在一个域级别或重要系统上获得管理员级别的权限。

    要点-对应物
    我们感兴趣的WEB服务器运行着开放的SSL,我们认为对它也许可以进行暴力口令破解攻击。连接被拒绝,对该机器的一个快速重新扫描显示打开了一下的端口立刻又关闭了。我们猜想我们的活动被监控了,一个系统管理员正在守护着这台服务器(尽管管理层的指令是不要这么做)。我们检查了这台服务器上运行的FTP和SMTP服务,通过这个我们发现存在一个用户帐户叫做“ERPadmin”,但是我们的枚举口令猜测攻击在5次尝试猜测失败后就被锁定了,从而宣告了攻击的失败。我们通过推断这个帐户的存在,是因为对该帐户的回应,明显和一个已知不存在的帐户(比如Pivotpoint!)的回应不同。帐户的锁定,加上技术漏洞很少,加强了我们认为子网非常安全的观点。

    因为我们感兴趣的网络设备同时还支持其他产品的应用程序,所以我们推迟了评估这些设备,取而代之的是企业的局域网。

    差点错过的机会
    在合约的一开始,当我们建议安全评估应当包括局域网时,我们遇到了极其强大的抵制。我们的信念(基于类似情景的多个合约所形成)是那些可能有存取优先权的局域网段,或者是有不同优先级用户的网段,都是一个特别的风险来源,即使应用程序是在一个完全不同的子网上。

    我们在局域网上进行的漏洞扫描,和我们在产品所在子网上的结果一样,干干净净。这几乎是同类的Windows网络(2000服务器,XP主机),所有的主机配置本质上都一样。这个“几乎”成了我们的一大难题,直到我们意识到在局域网中有台孤零零的NT4服务器,运行了一个古老的传统程序。口令复杂性设置是由Windows SMS中央分发的,不幸的是对NT4并不适用。这导致我们用一个Net bios列举工具(NBTEnum),通过该工具寻找常见的口令缺陷,从而找到了那些使用同一用户名/密码(jimmy/jimmy)的帐户。当我们发现到jimmy帐户是一个本地域的管理帐户时,我们意识到我们有了第一个落脚点。

      • 评论
      • 分享微博
      • 分享邮件
      邮件订阅

      如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

      重磅专题
      往期文章
      最新文章