『Black Hat』で SAP アプリの脆弱性が明らかに - japan.internet.com(情報元のブックマーク数)

業務アプリなので、優先順位が違うんでしょうねぇ・・・・まずは色々な人が使えてお金を落としてくれる業務アプリになることが優先ですしね。

どーせ、Noteなんて適用しない企業が多いですし・・・

SAP アプリケーションのセキュリティはどの程度のものなのだろうか。セキュリティ研究者 Alexander Polyakov 氏は、3-4日にラスベガスで開催されていた毎年恒例のセキュリティ カンファレンス『Black Hat USA 2011』のセッションで、この疑問への答えを出そうと試みた。
Polyakov 氏は、セキュリティ会社 ERPscan の CTO (最高技術責任者) で、企業資源計画 (ERP) システムのセキュリティ研究を専門としている。同氏はプレゼンテーションの中で、SAP アプリケーションに潜在的な攻撃可能領域があることを明らかにした、これには内部の脅威だけではなく外部からの脅威も含まれていた。攻撃者はローカル アクセスを必要としない遠隔攻撃に最も強い関心を寄せているというのが、同氏の見方だ。
Polyakov 氏の研究では、SAP アプリケーションのセキュリティ脆弱性の根本原因は『Java』の使用にあるとしている。
「クロスサイト スクリプティング (XSS) の脆弱性は数え切れないほど存在している。しかもその多くがパッチ未対応だ」と同氏は指摘している。
Polyakov 氏は、個別の悪用につながりかねない複数のセキュリティ バグの発見に成功したが、今後さらにもう一歩進んで、たった1件のバグを使って SAP の全システムを乗っ取れるような、最大級のセキュリティ脆弱性を特定したいと考えているという。
Polyakov 氏は HTTP Verb Tampering (HTTP 動詞の改ざん) と呼ばれる手法を攻撃ベクトルに用いて、500種類の SAP アプリケーションを調べ、このうち40種類に脆弱性が存在することを発見した。そうした脆弱性の1つに、遠隔から SAP サーバー上にある任意のファイルへの上書きを許しかねないものがあった。この同じ攻撃ベクターを使うことにより、攻撃者が任意ユーザーを任意グループに追加するおそれがあることも判明したという。

http://japan.internet.com/webtech/20110809/4.html

screenshot