技术文章
#SafeSAPUI5 - EP06
你好,
***默认标头***
目的是展示SAPUI5开发人员(因为他们中的大多数来自ABAP世界)为什么需要upskill有了“安全编程”的知识和技能,我决定创建# SafeSAPUI5.
是什么# SafeSAPUI5?
- SAPUI5应用程序上暴露的安全漏洞的一系列例子(当然是负责任的披露,不显示姓名,服务器等)。这里的想法不是指责,而是把某人犯的“习得性错误”教育给所有人。我认为这是第一部创作者“希望”减少集数的电视剧☺️。
- 鼓励开发人员也使用标签# SafeSAPUI5网上有趣的文章,课程(为什么不呢?),电子书甚至自制材料,这将有助于SAPUI5开发人员提高他们的知识技能,特别是在安全部分,也带来了一些可能没有想到的例子。
我尽量让每件事都尽可能简短,但研究、分析、测试、联系客户、报告和修复漏洞需要很长时间(这里没有真正描述)。
SAP有一个官方漏洞赏金计划,请阅读更多这链接。如果您想报告发现的SAP漏洞,请使用官方链接在这里.
***默认标头***
在这里也保留了所有重要的话题:safesapui5.web.app
好吧……现在是第六集我们有:”小心phishing攻击……”⚠️⚠️⚠️:
这一集与真实的客户漏洞无关,而是演示您可能会收到的示例攻击(以及如何查找它们)。今天我们要讲的是网络钓鱼.
基本上是网络钓鱼(阅读更多关于它的内容)在这里),骗子他们总是试图通过各种形式获取你的敏感信息。当我们谈论SAPUI5时,今天我将模拟一个网络钓鱼攻击来获取您的FIORI登录凭据,因此欺诈者可以获得敏感的客户信息并以多种方式温暖环境,正如您可以想象的那样。
如果我们想想菲奥里发射台,这是用于进入FIORI服务器的URL,我们会看到这样的URL:
或基于Netweaver版本:
好的,现在让我来扮演骗子的角色,假设有一家公司叫我的公司(不是一家真正的公司!),它使用SAP FIORI,我想窃取他们的凭证,以获得有关业务的敏感数据。为此,我将实施网络钓鱼攻击…怎么做?
首先,创建一个假的FIORI Launchpad(是的,这个是真实的,用于演示):
它捕获插入的凭据并将它们存储在云数据库中(仅用于POC目的,正如您可以想象的那样,我不会透露完整的URL)。如您所见,URL的其余部分与实际的NW 7.4相同:https://
现在我们说,对于我的公司客户,他们实际FIORI Launchpad的网址是:
https://mycompany.com.br/sap/bc/ui5_ui5/ui2/ushell/shells/abap/Fiorilaunchpad.html(再次强调,这个URL/公司在现实生活中并不存在…)
好了,为了让用户使用我的假启动页而不是实际的启动页,我可以发送像下面这样的电子邮件:
注意,URL的文本描述的是实际的FIORI发射台,但当你点击它时,它不是实际的URL.这怎么可能?通过创建超链接,您可以创建任何文本来指向任何URL。所以当用户点击电子邮件链接时,它将打开我的假页面,而不是“mycompany.com.br....”的真实页面。
例子:按此:google.com,你会看到文本显示谷歌,但当你点击它,转到https://www.bing.com。
现在让我扮演一个“无辜用户”的角色,收到邮件并打开URL尝试登录:
或者在我的手机上:
假页面永远不会超出登录屏幕,但当你选择登录时,已经得到了我想要的(你的凭据)。
现在切换回骗子角色,转到我的API监视器查看当前用户/密码列表:
就这么简单,拿到了证书…
***再一次,我扮演了骗子和用户的角色,只为POC的目的***
好吧,那么我们能从这个事件中学到什么(以及总的来说)呢?
- 当你收到可疑的电子邮件时,一定要检查实际的电子邮件ID(因为大多数骗子是从他们的gmail帐户发送的,而不是实际的公司电子邮件ID)。
- 要时刻提防电子邮件上的链接(正如我们在这里看到的),社交媒体,消息应用程序等。如果你“不得不”点击它,请始终检查浏览器上的完整URL是否正确。如果您有任何问题,请联系您的IT支持以确认url。
- 永远不要在非官方渠道上提供密码或任何类型的敏感数据,比如电话、电子邮件等,银行一般不会打电话问你密码……
- 如果它是一个值得信赖的电子商务网站/应用程序等,请务必注意您存储信用卡详细信息的位置。
- 如果可以的话,总是使用两步验证。
- 如果你想看到现实生活中的骗子,请关注这Youtube频道(Jim Browning)。
PS:请检查集05,如果你还没有。
谢谢。
# SafeSAPUI5