03.06.2015 Новости, БезопасностьКомпания Digital Security, специализирующаяся на анализе защищенности систем, представила результаты исследования безопасности приложений Oracle PeopleSoft, проведенного Алексеем Тюриным, руководителем департамента аудита ИБ. Несмотря на то, что Oracle — второй по величине доли на рынке поставщик ERP-приложений, а его продукт PeopleSoft используется более чем в 7000 организациях, в том числе, в половине списка Fortune 100, разработчик до сих пор не уделяет достаточного внимания безопасности приложений. Исследование эксперта Digital Security выявило ряд уязвимостей в PeopleSoft, самая опасная из которых позволяет осуществить атаку класса «повышение привилегий». Суть в следующем. Системы PeopleSoft часто доступны из сети Интернет, причем к некоторым компонентам необходим доступ без регистрации: например, к странице восстановления пароля или к форме подачи резюме на вакансию. Для этого в Oracle PeopleSoft существует специальный пользователь с минимальными правами. При входе система автоматически аутентифицирует вас под этой учетной записью. Это позволяет осуществить атаку класса «повышение привилегий», подобрав аутентификационную cookie — TokenID. TokenID генерируется на основе алгоритма хэширования SHA1, при этом, согласно новейшим данным, буквенно-цифровой пароль из 8 знаков расшифровывается за один день на современной видеокарте, которая обойдется злоумышленнику примерно в $ 500. Стоит отметить, что инсталляция Oracle PeopleSoft обычно представляет собой сложную систему ...
читать далее.