上篇文章我们讲述了 ERP接口开发的重要性 ,在信息时代格外重要。
今天,我们来谈谈信息安全!
IT的更新替换太快,SAP早已推出FIORI HANA等新技术,作为一个即将被淘汰的中老年人,几个月前扫码获得了1个号称最新高级系统的免费体验账户一直没登录,昨天有空想起来了,赶紧登录系统。这一登录,差点误了大事。
配置好GUI登录后突然弹出一个读取文件的权限请求,一般我都选了允许,这个权限图一看有点紧张,因为之前换笔记本拷贝过该目录下的文件到新的GUI,拷贝过去之后SAP GUI的配置、账户、密码都同步到新笔记本电脑了。居然想要读取我的这个文件夹,不由得吓一大跳[jú][huā][yī][jǐn],当然是选择拒绝了,谁知道想要做什么事情,毕竟自己好歹有那么多套系统的信息。
△熟悉的配方
事出反常必有妖啊,登录系统后发现有DEBUG权限。赶紧手动调试升级成为SAP ALL权限。到表REPOSRC找到最近更新的一些自开发程序。好家伙!居然有重大发现,有段增强代码在用户登录SAP系统时,读取用户的GUI配置文件【C:甥敳獲用户名AppDataRoamingSAPCommon】并解密后写到自定义DB二开表。找到表一看冒了一丝冷汗。居然有不少明文存储的密码。我的密码由于系统太多,多到自己都不愿意记。所以都是修改了注册表(强烈不推荐)使用了SAP GUIShortcut.sap方式默认记住密码功能。
△我偷懒使用了该“未推荐用途”自动记忆密码
△多到不愿意记密码的系统信息
尝试着将部分核心代码拷贝到自己的开发机IDES运行了一下。
前面9位的密码居然一览无余。。。。
所有C盘下存储的密码明文居然全部输出到了屏幕,心塞一秒钟。
△存储在我个人电脑上,非本SAP系统的密码明文
这两个超级无敌密码跟了我好多年了,好记又复杂。原本以为字母+数字+特殊字符应该算是超级无敌密码了。密码【Qt1.~|p】来源于自小想修炼却至今未成功的绝世神功“蜻蜓一点水上漂”,【1hcl<
找到电脑路径【C:甥敳獲用户名AppDataRoamingSAPCommonsapshortcut.ini】中 的PW_后面的字符串并输入到PASS,点击运行,
△PASS输入C盘下的16进制字符
运行后,立刻得到了密码:
△运行后,得到了当年的IDES简单密码
结论:
免费的东西慎重选择!天上不会掉馅饼。
为了安全,最好不要选择记住密码功能,否则都是泪!相当于赤裸裸的狂奔。。。
不要关闭GUI选项[安全性]->[安全设置]中文件读取询问的默认选项。
附代码。便宜无好货啊
