Недавно парнями из нашего исследовательского центра Positive Researchбыло тихо опубликовано расширение для Whireshark, позволяющее раскодировать трафик SAP DIAG (протокол, используемый клиентом SAP GUI для работы с системой). Протокол, как известно работает практически plain-text, но слегка закодирован. С помощью утилиты можно анализировать трафик и, в том числе, "выдергивать" пароли пользователей.
Примечательна история публикации. Мы раскодировали SAP DIAG (а так же как и SAP CODVN A-G) и успешно встроили их в MaxPatrol, для проверки стойкости паролей (offline и online, в режимах Audit и Pentest соответственно).
Однако, по причине того, что текущая реализация содержит ряд ошибок уровня проектирования - отписали в SAP и решили не разглашать. Однако в сентябре парни из SensePost опубликовали SAP DIAG Proxy SAPProx и security by obscurity опять дала течь.
В результате решили опубликовать и свои результаты.
Прошу любить и жаловать.
http://ptresearch.blogspot.com/2011/10/sap-diag-decompress-plugin-for.html
Естественно - утилита только для демонстрационных целей и легального использования.
Еще события от Positive Research:
http://sgordey.blogspot.com/search/label/research
