跳到内容
技术文章
作者简介照片Jos万博新体育手机客户端e Sequeira

#SafeSAPUI5 - EP06

你好,

***默认标头***

目的是展示SAPUI5开发人员(因为他们中的大多数来自ABAP世界)为什么需要upskill有了“安全编程”的知识和技能,我决定创建# SafeSAPUI5

是什么# SafeSAPUI5

  1. SAPUI5应用程序上暴露的安全漏洞的一系列例子(当然是负责任的披露,不显示姓名,服务器等)。这里的想法不是指责,而是把某人犯的“习得性错误”教育给所有人。我认为这是第一部创作者“希望”减少集数的电视剧☺️。
  2. 鼓励开发人员也使用标签# SafeSAPUI5网上有趣的文章,课程(为什么不呢?),电子书甚至自制材料,这将有助于SAPUI5开发人员提高他们的知识技能,特别是在安全部分,也带来了一些可能没有想到的例子。

我尽量让每件事都尽可能简短,但研究、分析、测试、联系客户、报告和修复漏洞需要很长时间(这里没有真正描述)。

SAP有一个官方漏洞赏金计划,请阅读更多链接。如果您想报告发现的SAP漏洞,请使用官方链接在这里

***默认标头***

在这里也保留了所有重要的话题:safesapui5.web.app

好吧……现在是第六集我们有:”小心phishing攻击……⚠️⚠️⚠️:

这一集与真实的客户漏洞无关,而是演示您可能会收到的示例攻击(以及如何查找它们)。今天我们要讲的是网络钓鱼

网络钓鱼

网络钓鱼

基本上是网络钓鱼(阅读更多关于它的内容)在这里),骗子他们总是试图通过各种形式获取你的敏感信息。当我们谈论SAPUI5时,今天我将模拟一个网络钓鱼攻击来获取您的FIORI登录凭据,因此欺诈者可以获得敏感的客户信息并以多种方式温暖环境,正如您可以想象的那样。

如果我们想想菲奥里发射台,这是用于进入FIORI服务器的URL,我们会看到这样的URL:

Launchpad % 20的url

Launchpad url

或基于Netweaver版本:

西北% 20版本

西北版本

好的,现在让我来扮演骗子的角色,假设有一家公司叫我的公司(不是一家真正的公司!),它使用SAP FIORI,我想窃取他们的凭证,以获得有关业务的敏感数据。为此,我将实施网络钓鱼攻击…怎么做?

首先,创建一个假的FIORI Launchpad(是的,这个是真实的,用于演示):

假% 20菲奥里% 20发射台

假的FIORI发射台-孩子们不要在家里尝试这个…

它捕获插入的凭据并将它们存储在云数据库中(仅用于POC目的,正如您可以想象的那样,我不会透露完整的URL)。如您所见,URL的其余部分与实际的NW 7.4相同:https:///sap/bc/ui5_ui5/ui2/ shell/shell /abap/ fiorillaunchpad .html(这样做是为了看起来更真实)。

现在我们说,对于我的公司客户,他们实际FIORI Launchpad的网址是:

https://mycompany.com.br/sap/bc/ui5_ui5/ui2/ushell/shells/abap/Fiorilaunchpad.html(再次强调,这个URL/公司在现实生活中并不存在…)

好了,为了让用户使用我的假启动页而不是实际的启动页,我可以发送像下面这样的电子邮件:

样本% 20 % 20钓鱼邮件

电子邮件网络钓鱼示例

注意,URL的文本描述的是实际的FIORI发射台,但当你点击它时,它不是实际的URL.这怎么可能?通过创建超链接,您可以创建任何文本来指向任何URL。所以当用户点击电子邮件链接时,它将打开我的假页面,而不是“mycompany.com.br....”的真实页面。

例子:按此:google.com,你会看到文本显示谷歌,但当你点击它,转到https://www.bing.com。

现在让我扮演一个“无辜用户”的角色,收到邮件并打开URL尝试登录:

登录

登录

或者在我的手机上:

移动% 20视图

手机登录

假页面永远不会超出登录屏幕,但当你选择登录时,已经得到了我想要的(你的凭据)。

现在切换回骗子角色,转到我的API监视器查看当前用户/密码列表:

监控% 20 api % 20% 28假% 20用户% 20和% 20密码% 29

监控API(假用户和密码)-找到你了!

就这么简单,拿到了证书…

***再一次,我扮演了骗子和用户的角色,只为POC的目的***

好吧,那么我们能从这个事件中学到什么(以及总的来说)呢?

  1. 当你收到可疑的电子邮件时,一定要检查实际的电子邮件ID(因为大多数骗子是从他们的gmail帐户发送的,而不是实际的公司电子邮件ID)。
  2. 要时刻提防电子邮件上的链接(正如我们在这里看到的),社交媒体,消息应用程序等。如果你“不得不”点击它,请始终检查浏览器上的完整URL是否正确。如果您有任何问题,请联系您的IT支持以确认url。
  3. 永远不要在非官方渠道上提供密码或任何类型的敏感数据,比如电话、电子邮件等,银行一般不会打电话问你密码……
  4. 如果它是一个值得信赖的电子商务网站/应用程序等,请务必注意您存储信用卡详细信息的位置。
  5. 如果可以的话,总是使用两步验证。
  6. 如果你想看到现实生活中的骗子,请关注Youtube频道(Jim Browning)。

PS:请检查集05,如果你还没有。

谢谢。

# SafeSAPUI5

指定的标签

      第一个留言吧
      你一定是登录评论:评论或回复帖子