(495) 925-0049, ITShop интернет-магазин 229-0436, Учебный Центр 925-0049
  Главная страница Карта сайта Контакты
Поиск
Вход
Регистрация
Рассылки сайта
 
 
 
 
 

Хакеры научились лишать людей работы, взломав SAP

Источник: cnews

Баг как фактор найма

Эксперты фирмы SEC Consult обнаружили весьма досадную уязвимость в системе рекрутинга SAP E-Recruiting, которая позволяет злоумышленникам вмешиваться в процесс найма и блокировать подачу заявок соискателями.

Обычно, когда соискатель регистрируется в корпоративном приложении E-Recruiting, ему приходит ссылка на электронную почту с просьбой подтвердить доступ к почтовому ящику. Однако эту процедуру можно обойти, поскольку злоумышленники вполне могут зарегистрировать и "подтвердить" электронные адреса, к которым у них доступа нет.

То есть, злоумышленник может зарегистрировать почтовый адрес, который ему не принадлежит, что может иметь существенные последствия для бизнеса - деловые процессы во многом зависят от достоверности информации о почтовых адресах.

Уязвимость в SAP E-Recruiting позволяет хакерам ломать карьеры

Более того, поскольку почтовый адрес может быть зарегистрирован только один раз, злоумышленник может воспрепятствовать регистрации легитимных соискателей в E-Recruiting.

Уязвимость затрагивает версии 605, 606, 616 и 617. Она была выявлена в июле 2017 г. В SAP довольно оперативно откликнулись и подтвердили проблему. Патч и бюллетень безопасности были выпущены одновременно 12 сентября.

Неуникальная величина

Согласно описанию экспертов SEC Consult, в письме о подтверждении адреса содержится ссылка с параметром HTTP GET, в которой с помощью Base64 закодированы параметры "candidate_hrobject" и "corr_act_guid". Первый из них представляет собой идентификатор пользователя, задаваемый в приращениях; второй - это произвольная величина, используемая при подтверждении почтового адреса. Однако эта величина не привязана к конкретной заявке, а значит, можно повторно использовать величину из какой-либо предыдущей регистрации пользователя. А поскольку значение "candidate_hrobject" поступательно увеличивается, злоумышленник может эту величину угадать.

Злоумышленник, который хочет зарегистрировать почтовый адрес, не принадлежащий ему, может сделать следующие шаги: зарегистрироваться с собственным почтовым адресом; сразу после этого зарегистрировать чужой адрес; считать величину "candidate_hrobject" из ссылки, полученной при своей регистрации; увеличить это значение на единицу; внедрить в запрос HTTP GET в письме о подтверждении второго адреса эту величину и добавить туда же параметр "corr_act_guid" из письма на подтверждение своего исходного адреса (тогда адрес жертвы будет считаться подтвержденным, и она потеряет возможность работы с рекрутинговой системой). Если это не сработает, можно попытаться еще увеличить значения "candidate_hrobject" - в системе могли успеть зарегистрироваться и подтвердить свои адреса другие люди.

"Эта атака возможна потому, что в ссылке на подтверждение отсутствует уникальный одноразовый идентификатор, - говорит Георгий Лагода, генеральный директор SEC Consult Services. - Простота эксплуатации делает эту уязвимость довольно опасной как для соискателей, так и для бизнеса. Соискатели могут пострадать особенно сильно - ничто не помешает злоумышленникам начать "регистрировать" одного и того же соискателя во множестве компаний, использующих для рекрутинга разработку SAP. Кроме, естественно, вовремя установленного патча".



 Распечатать »
 Правила публикации »
  Обсудить материал в конференции Дискуссии и обсуждения общего плана »
Написать редактору 
 Рекомендовать » Дата публикации: 14.09.2017 
 

Магазин программного обеспечения   WWW.ITSHOP.RU
Антивирус ESET NOD32 SMALL Business Pack renewal for 10 user. Электронный ключ
CorelDRAW Home & Student Suite X8 ESD. Электронный ключ.
Panda Antivirus Pro - ESD версия - на 1 устройство - (лицензия на 1 год)
SAP CRYSTAL Reports 2013 WIN INTL NUL
Creative Cloud Multiple Platforms Multi European Languages Only Renewal Licensing Subscription 12 months L1 (1-9)
 
Другие предложения...
 
Курсы обучения   WWW.ITSHOP.RU
 
Другие предложения...
 
Магазин сертификационных экзаменов   WWW.ITSHOP.RU
 
Другие предложения...
 
3D Принтеры | 3D Печать   WWW.ITSHOP.RU
PICASO 3D Designer (Желтый)
CubeX Duo
3D ручка Myriwell, голубая
PrintBox3D One
MakerBot Replicator 5th GEN
 
Другие предложения...
 
Новости по теме
 
Рассылки Subscribe.ru
Информационные технологии: CASE, RAD, ERP, OLAP
Новости ITShop.ru - ПО, книги, документация, курсы обучения
Краткие описания программ и ссылки на них
OS Linux для начинающих. Новости + статьи + обзоры + ссылки
Безопасность компьютерных сетей и защита информации
Web-дизайн и е-коммерция. Советы изнутри и снаружи.
Один день системного администратора
 
Рассылки Maillist.ru
Новости ITShop.ru - ПО, книги, документация, курсы обучения
Территория Linux - вход свободный
 
Статьи по теме
 
Новинки каталога Download
 
Исходники
 
Документация
 
Обсуждения в форумах
Access, Ключевое поле, Счетчик (9)
Подскажите пожалуйста, как изменить в Access в ключевом поле (счетчик последовательно),...
 
Помощь по MS Access (323)
Доброе время суток. Случайно оказался на этом сайте, искал статьи по OLAP. Вижу, что...
 
Демоверсия ERwin Data Modeler r9.7 (1)
Загрузил демо-версию, не запускается, требует лицензию
 
Как извлечь рисунки из файла Word (39)
Вообще-то есть еще способ - сделать в Word-е Copy рисунка, открыть Microsoft Photo Editor и там:...
 
Уроки по JavaScript для новичков (1)
Всем привет! Вот хочу поделиться классным сайтом для начинающих изучать программирование на ...
 
 
 



    
rambler's top100 Rambler's Top100