(495) 925-0049, ITShop интернет-магазин 229-0436, Учебный Центр 925-0049
  Главная страница Карта сайта Контакты
Поиск
Вход
Регистрация
Рассылки сайта
 
 
 
 
 

Хакеры научились лишать людей работы, взломав SAP

Источник: cnews

Баг как фактор найма

Эксперты фирмы SEC Consult обнаружили весьма досадную уязвимость в системе рекрутинга SAP E-Recruiting, которая позволяет злоумышленникам вмешиваться в процесс найма и блокировать подачу заявок соискателями.

Обычно, когда соискатель регистрируется в корпоративном приложении E-Recruiting, ему приходит ссылка на электронную почту с просьбой подтвердить доступ к почтовому ящику. Однако эту процедуру можно обойти, поскольку злоумышленники вполне могут зарегистрировать и "подтвердить" электронные адреса, к которым у них доступа нет.

То есть, злоумышленник может зарегистрировать почтовый адрес, который ему не принадлежит, что может иметь существенные последствия для бизнеса - деловые процессы во многом зависят от достоверности информации о почтовых адресах.

Уязвимость в SAP E-Recruiting позволяет хакерам ломать карьеры

Более того, поскольку почтовый адрес может быть зарегистрирован только один раз, злоумышленник может воспрепятствовать регистрации легитимных соискателей в E-Recruiting.

Уязвимость затрагивает версии 605, 606, 616 и 617. Она была выявлена в июле 2017 г. В SAP довольно оперативно откликнулись и подтвердили проблему. Патч и бюллетень безопасности были выпущены одновременно 12 сентября.

Неуникальная величина

Согласно описанию экспертов SEC Consult, в письме о подтверждении адреса содержится ссылка с параметром HTTP GET, в которой с помощью Base64 закодированы параметры "candidate_hrobject" и "corr_act_guid". Первый из них представляет собой идентификатор пользователя, задаваемый в приращениях; второй - это произвольная величина, используемая при подтверждении почтового адреса. Однако эта величина не привязана к конкретной заявке, а значит, можно повторно использовать величину из какой-либо предыдущей регистрации пользователя. А поскольку значение "candidate_hrobject" поступательно увеличивается, злоумышленник может эту величину угадать.

Злоумышленник, который хочет зарегистрировать почтовый адрес, не принадлежащий ему, может сделать следующие шаги: зарегистрироваться с собственным почтовым адресом; сразу после этого зарегистрировать чужой адрес; считать величину "candidate_hrobject" из ссылки, полученной при своей регистрации; увеличить это значение на единицу; внедрить в запрос HTTP GET в письме о подтверждении второго адреса эту величину и добавить туда же параметр "corr_act_guid" из письма на подтверждение своего исходного адреса (тогда адрес жертвы будет считаться подтвержденным, и она потеряет возможность работы с рекрутинговой системой). Если это не сработает, можно попытаться еще увеличить значения "candidate_hrobject" - в системе могли успеть зарегистрироваться и подтвердить свои адреса другие люди.

"Эта атака возможна потому, что в ссылке на подтверждение отсутствует уникальный одноразовый идентификатор, - говорит Георгий Лагода, генеральный директор SEC Consult Services. - Простота эксплуатации делает эту уязвимость довольно опасной как для соискателей, так и для бизнеса. Соискатели могут пострадать особенно сильно - ничто не помешает злоумышленникам начать "регистрировать" одного и того же соискателя во множестве компаний, использующих для рекрутинга разработку SAP. Кроме, естественно, вовремя установленного патча".



 Распечатать »
 Правила публикации »
  Обсудить материал в конференции Дискуссии и обсуждения общего плана »
Написать редактору 
 Рекомендовать » Дата публикации: 14.09.2017 
 

Магазин программного обеспечения   WWW.ITSHOP.RU
IBM DOMINO ENTERPRISE CLIENT ACCESS LICENSE AUTHORIZED USER ANNUAL SW SUBSCRIPTION & SUPPORT RENEWAL
Delphi Professional Named User
TeeBI for RAD Studio Suite with source code single license
YourKit Profiler for .NET - Floating License - 1 year of e-mail support and upgrades
ESET NOD32 Parental Control – универсальная лицензия на 1 год для всей семьи
 
Другие предложения...
 
Курсы обучения   WWW.ITSHOP.RU
 
Другие предложения...
 
Магазин сертификационных экзаменов   WWW.ITSHOP.RU
 
Другие предложения...
 
3D Принтеры | 3D Печать   WWW.ITSHOP.RU
 
Другие предложения...
 
Новости по теме
 
Рассылки Subscribe.ru
Информационные технологии: CASE, RAD, ERP, OLAP
Безопасность компьютерных сетей и защита информации
CASE-технологии
OS Linux для начинающих. Новости + статьи + обзоры + ссылки
Один день системного администратора
Все о PHP и даже больше
Corel DRAW - от идеи до реализации
 
Статьи по теме
 
Новинки каталога Download
 
Исходники
 
Документация
 
Обсуждения в форумах
Отличается ли ДрифтКазино от беттинга? (23)
Друзья, давно заметил, что на Дрифте уже несколько месяцев во всю рекламируется и предлагается...
 
Особенности покупки программного обеспечения - легальный софт vs. кряки/crack, keygen и пр. (4)
А Linux не пробовали? Там ЛЮБОГО добра хватает :) Без всяких кряков, кейгенов и т.д. При этом...
 
Создавая свой веб-сайт, не превращайте его в призрака (3)
Если автор имел что сказать, то почему он этого не сказал. Если не имел, то с какой целью он...
 
Игровые автоматы на настоящие деньги (3)
Только играя в интернет-заведении с лицензией...
 
Детейлинг центр (1)
Ездили в отпуск в Москву, сломалась выхлопная система - отремонтировали здесь:...
 
 
 



    
rambler's top100 Rambler's Top100