oracle peopleso applica ons are under a3acks
play

Oracle PeopleSo, applica.ons are under a3acks! Alexey - PowerPoint PPT Presentation

Apr 07, 2023 •314 likes •1.12k views

Invest in security to secure investments Oracle PeopleSo, applica.ons are under a3acks! Alexey Tyurin About ERPScan The only 360-degree SAP

  1. Invest ¡in ¡security ¡ to ¡secure ¡investments ¡ Oracle ¡PeopleSo, ¡applica.ons ¡ are ¡under ¡a3acks! ¡ Alexey ¡Tyurin ¡ ¡

  2. About ¡ERPScan ¡ • The ¡ only ¡ 360-­‑degree ¡ SAP ¡ Security ¡ solu9on ¡ -­‑ ¡ ERPScan ¡ Security ¡ Monitoring ¡Suite ¡for ¡SAP ¡ • Leader ¡ by ¡the ¡number ¡of ¡ acknowledgements ¡from ¡SAP ¡ ( ¡150+ ¡) ¡ • 60+ ¡presenta.ons ¡key ¡security ¡conferences ¡ worldwide ¡ • 25 ¡Awards ¡and ¡nomina.ons ¡ • Research ¡team ¡-­‑ ¡ 20 ¡experts ¡with ¡experience ¡in ¡ ¡different ¡areas ¡ of ¡security ¡ • Headquartered ¡in ¡Palo ¡Alto ¡(US) ¡and ¡Amsterdam ¡(EU) ¡ ¡ ¡ 2 ¡

  3. ERPScan ¡and ¡SAP ¡ • Working ¡together ¡since ¡2007 ¡ ¡ ¡ “We ¡would ¡like ¡to ¡thank ¡the ¡world-­‑class ¡ ¡ security ¡experts ¡of ¡ERPScan ¡for ¡the ¡highly ¡ qualified ¡job ¡performed ¡to ¡help ¡us ¡assess ¡the ¡ ¡ security ¡of ¡our ¡pre-­‑release ¡products”. ¡ ¡ Senior ¡Director, ¡Head ¡of ¡Global ¡Security ¡Alliance ¡Management ¡ Product ¡Security, ¡Technology ¡and ¡Innova9on ¡PlaSorm ¡ SAP ¡Labs, ¡Palo ¡Alto, ¡USA ¡ 3 ¡

  4. ERPScan ¡and ¡Oracle ¡ ¡ • ERPScan ¡researchers ¡were ¡acknowledged ¡15 ¡9mes ¡during ¡ quarterly ¡Oracle ¡patch ¡updates ¡since ¡2008 ¡ ¡ • Totally ¡40+ ¡Vulnerabili9es ¡closed ¡in ¡Oracle ¡Applica9ons ¡ – Oracle ¡Database ¡ Oracle ¡provides ¡recogni9on ¡to ¡ – Oracle ¡Peopleso_ ¡ people ¡that ¡have ¡contributed ¡to ¡ our ¡Security-­‑In-­‑Depth ¡program. ¡ – Oracle ¡Weblogic ¡ Oracle ¡recognizes ¡Alexander ¡ – Oracle ¡JDE ¡ Polyakov ¡from ¡ERPScan ¡for ¡ contribu9ons ¡to ¡Oracle's ¡ – Oracle ¡BI ¡ Security-­‑In-­‑Depth ¡program . ¡ ¡ 4 ¡ ¡

  5. About ¡Me ¡ • Director ¡of ¡Oracle ¡Security ¡department ¡of ¡ ¡ the ¡ERPScan ¡company ¡ • WEB/EBA/Network ¡security ¡fun ¡ • Hacked ¡many ¡online ¡banking ¡systems ¡ • Hacked ¡many ¡enterprise ¡applica9ons ¡ ¡ Tweeter: ¡@antyurin ¡ 5 ¡

  6. Agenda ¡ • Introduc9on ¡to ¡Oracle ¡PeopleSo_ ¡ • PeopleSo_ ¡Architecture ¡ • Ahacks ¡on ¡back-­‑end ¡systems ¡ • External ¡ahacks ¡on ¡PeopleSo_ ¡ 6 ¡

  7. Introduc.on ¡to ¡Oracle ¡PeopleSo, ¡ 7 ¡

  8. What ¡is ¡it? ¡ • Oracle ¡PeopleSo_ ¡Apps: ¡HRMS, ¡FMS, ¡SCM, ¡CRM, ¡EPM ¡… ¡ • Can ¡work ¡as ¡one ¡big ¡portal ¡or ¡separately ¡ • Many ¡implementa9ons ¡in ¡different ¡areas ¡ 8 ¡

  9. Industries ¡ • Large ¡companies. ¡HRMS/ ¡FMS ¡ • Government. ¡HRMS ¡ • Universi9es. ¡Student ¡Administra9on ¡system ¡ 9 ¡

  10. Regions ¡ ¡ UK ¡ 13% ¡ APAC ¡ 11% ¡ USA ¡ 72% ¡ 10 ¡

  11. Industries ¡ Agriculture&Food, ¡ 170 ¡ U9li9es, ¡230 ¡ Pharmaceu9cal, ¡255 ¡ Telecommunica9ons, ¡ Compu9ng&IT, ¡940 ¡ 227 ¡ Manufacturing, ¡ 1160 ¡ Retail, ¡437 ¡ Educa9onal, ¡1900 ¡ 11 ¡

  12. Why ¡should ¡we ¡care ¡ Personal ¡informa9on ¡ ¡ • SSN ¡ – Salary ¡data ¡ – Payment ¡informa9on ¡ • Credit ¡card ¡data ¡ – Bank ¡account ¡data ¡ – Bidding ¡informa9on ¡ • RFP ¡ – Prices ¡ – 12 ¡

  13. Why ¡should ¡we ¡care ¡ • Espionage ¡ – The_ ¡of ¡financial ¡informa9on ¡ – Corporate ¡trade ¡secret ¡the_ ¡ ¡ – The_ ¡of ¡supplier ¡and ¡customer ¡lists ¡ – Stealing ¡HR ¡data ¡Employee ¡Data ¡The_ ¡ • Sabotage ¡ – Denial ¡of ¡service ¡ – Tampering ¡with ¡financial ¡reports ¡ • Fraud ¡ – False ¡transac9ons ¡ – Modifica9on ¡of ¡master ¡data ¡ 13 ¡

  14. Some ¡cases ¡ Two ¡Charged ¡with ¡Hacking ¡PeopleSo_ ¡to ¡Fix ¡Grades ¡(California ¡state ¡ • university) ¡-­‑ ¡2007 ¡ – hhp://www.pcworld.com/ar9cle/139233/ar9cle.html ¡ Student ¡sentenced ¡to ¡jail ¡for ¡hacking ¡university ¡grades ¡(Florida ¡A ¡& ¡M ¡ • University) ¡-­‑ ¡2009 ¡ – hhp://www.geek.com/news/student-­‑sentenced-­‑to-­‑jail-­‑for-­‑hacking-­‑ university-­‑grades-­‑742411/ ¡ Undergrad ¡suspected ¡in ¡massive ¡breach ¡(University ¡of ¡Nebraska) ¡-­‑ ¡2012 ¡ • – hhp://www.computerworld.com/ar9cle/2503861/cybercrime-­‑hacking/ undergrad-­‑suspected-­‑in-­‑massive-­‑univ-­‑-­‑of-­‑nebraska-­‑breach.html ¡ Hacking ¡Higher ¡Educa9on ¡ ¡-­‑ ¡last ¡years ¡ • – hhp://www.darkreading.com/security/hacking-­‑higher-­‑educa9on/d/d-­‑id/ 1109684 ¡ 14 ¡

  15. Some ¡cases ¡ 15 ¡

  16. Vulnerabili.es ¡in ¡PeopleSo, ¡ Some ¡vulns ¡every ¡year, ¡but ¡no ¡info ¡for ¡pentes9ng… ¡ 16 ¡

  17. Oracle ¡PeopleSo, ¡Architecture ¡ 17 ¡

  18. PeopleSo, ¡Internet ¡Architecture ¡ • Many ¡applica9ons, ¡but ¡they ¡have ¡one ¡architecture ¡ • PeopleSo_ ¡Internet ¡Architecture ¡ – Internet ¡oriented ¡since ¡version ¡8 ¡ • Based ¡on ¡several ¡special ¡core ¡technologies ¡ 18 ¡

  19. PeopleSo, ¡Internet ¡Architecture ¡ PeopleTools: ¡ • Technology ¡ • Developer ¡tools ¡ • Framework ¡ • PeopleCode ¡ ¡ All ¡of ¡the ¡applica9ons ¡are ¡created ¡using ¡PeopleTools. ¡ ¡ 19 ¡

  20. PeopleSo, ¡Internet ¡Architecture ¡ ¡ 20 ¡

  21. PeopleSo, ¡Internet ¡Architecture ¡ Web ¡server ¡ ¡ WebLogic ¡/WebSphere ¡ • PS ¡Servlets ¡ • Forwards ¡request ¡from ¡a ¡browser ¡to ¡an ¡App ¡Server ¡ • Applica.on ¡server ¡ ¡ PS ¡Services ¡+ ¡Tuxedo ¡+ ¡Jolt ¡ ¡ • Business ¡logic, ¡SQL ¡transac9on ¡management, ¡Transport ¡ • Database ¡server ¡ System ¡Tables, ¡PeopleTools ¡metadata ¡, ¡PeopleSo_ ¡applica9on ¡data ¡ • 21 ¡

  22. Hacker’s ¡targets ¡ • High ¡privileged ¡access ¡in ¡PeopleSo_ ¡(“PS” ¡– ¡super ¡admin ¡ account) ¡ – A"acks ¡on ¡business ¡logic ¡ – Cri2cal ¡informa2on ¡in ¡PeopleSo8 ¡ Remote ¡Command ¡Execu9on ¡in ¡OS ¡ • – Access ¡to ¡a ¡company’s ¡internal ¡network ¡ – Cri2cal ¡informa2on ¡in ¡PeopleSo8 ¡ We ¡can ¡get ¡RCE ¡in ¡OS ¡if ¡we ¡have ¡high ¡priv. ¡access. ¡Conversely ¡situa2on ¡is ¡true ¡ too ¡ 22 ¡

  23. A3acks ¡on ¡back-­‑end ¡systems ¡ 23 ¡

  24. Internal ¡a3acker ¡ 24 ¡

  25. PeopleSo, ¡“Back ¡End” ¡Authen.ca.on ¡ • User ¡ID ¡– ¡an ¡account ¡in ¡PeopleSo_ ¡Applica9on. ¡ • Connect ¡ID ¡– ¡a ¡low ¡privileged ¡account ¡in ¡the ¡RDBMS ¡ • Access ¡ID ¡– ¡a ¡high ¡privileged ¡account ¡in ¡the ¡RDBMS ¡ 25 ¡

  26. PeopleSo, ¡“Back ¡End” ¡Authen.ca.on ¡ User ¡authen.ca.on ¡process: ¡ • User ¡logs ¡in ¡with ¡his ¡User ¡ID ¡and ¡password ¡to ¡the ¡Applica9on ¡Server. ¡ • Applica9on ¡Server, ¡in ¡turn, ¡connects ¡to ¡DBMS ¡using ¡Connect ¡ID. ¡User ¡ ID ¡and ¡passwords ¡for ¡it ¡stored ¡in ¡DBMS ¡tables ¡are ¡compared ¡to ¡the ¡ ones ¡that ¡were ¡entered ¡by ¡the ¡user. ¡ ¡ – Connect ¡ID ¡has ¡limited ¡rights, ¡only ¡to ¡retrieve ¡User ¡ID ¡and ¡encrypted ¡ password ¡from ¡DBMS ¡tables. ¡ ¡ • If ¡the ¡comparison ¡went ¡successful, ¡Applica9on ¡Server ¡retrieves ¡the ¡ necessary ¡Access ¡ID ¡with ¡the ¡encrypted ¡password. ¡ ¡ ¡ – Access ¡ID ¡with ¡the ¡password ¡are ¡stored ¡in ¡PSACCESSPRFL ¡table. ¡ ¡ ¡ – Access ¡ID ¡account ¡has ¡high ¡privileges. ¡ ¡ • Finally, ¡the ¡system ¡reconnects ¡to ¡DBMS ¡using ¡Access ¡ID ¡with ¡full ¡ access. ¡ 26 ¡

  27. RDMBS ¡accounts ¡ Some ¡facts ¡: ¡ • Common ¡Connect ¡ID ¡– ¡“people” ¡with ¡password ¡ “people”/”peop1e” ¡ • Default ¡Access ¡ID: ¡ “SYSADM” ¡for ¡Oracle ¡ “sa” ¡for ¡MSSQL ¡ • Connect ¡ID ¡password ¡is ¡o_en ¡the ¡same ¡as ¡Access ¡ID ¡password ¡ Let’s ¡try ¡to ¡perform ¡dic2onary ¡a"ack ¡on ¡RDBMS ¡ 27 ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

IVR Security:- Internal A3acks Via Phone Line Who

IVR Security:- Internal A3acks Via Phone Line Who

IVR Security:- Internal A3acks Via Phone Line Who am I ? Rahul Sasi Security Researcher @ iSIGHT Partners . Member Garage4Hackers.

891 views • 33 slides
Oracle Buys AmberPoint Strengthens Oracle Fusion Middleware SOA Suite and Oracle Enterprise

Oracle Buys AmberPoint Strengthens Oracle Fusion Middleware SOA Suite and Oracle Enterprise

Oracle Buys AmberPoint Strengthens Oracle Fusion Middleware SOA Suite and Oracle Enterprise Manager with Best-in-Class SOA Management Capabilities February 12, 2010 Oracle is currently reviewing the existing AmberPoints product roadmap and

774 views • 19 slides
Dialog in NLP applica.ons VELJKO MILJANIC Overview Applica(ons in S2S

Dialog in NLP applica.ons VELJKO MILJANIC Overview Applica(ons in S2S

Dialog in NLP applica.ons VELJKO MILJANIC Overview Applica(ons in S2S systems Overview of S2S system architecture Modeling contextual informa(on in S2S

977 views • 75 slides
Daily backups should be performed on the Data Center servers. NC & SC use rman

Daily backups should be performed on the Data Center servers. NC & SC use rman

CISN/RSNs are currently running Oracle 10g Release 2. Oracle 11g Release 2 is the latest Oracle version. Oracle releases Critical Patch Updates on a quarterly basis. They contain security fixes and should be installed promptly.

330 views • 8 slides
Databases for the Masses Self-Service Oracle Mul5tenant with

Databases for the Masses Self-Service Oracle Mul5tenant with

Databases for the Masses Self-Service Oracle Mul5tenant with APEX Leighton L. Nelson Who am I? Oracle DBA Oracle ACE Oracle Certified Expert RAC and Grid

561 views • 27 slides
Oracle Database 11g Highly Available Grid made easy with Oracle Enterprise Manager Venkat

Oracle Database 11g Highly Available Grid made easy with Oracle Enterprise Manager Venkat

<Insert Picture Here> Oracle Database 11g Highly Available Grid made easy with Oracle Enterprise Manager Venkat Maddali, Director of Development, Oracle Jagan Athreya, Director of Product Management, Oracle The following is intended to

691 views • 46 slides
Oracle and Hyperion Acquisition The New, Extended Oracle BI: A System for Enterprise Performance

Oracle and Hyperion Acquisition The New, Extended Oracle BI: A System for Enterprise Performance

Oracle and Hyperion Acquisition The New, Extended Oracle BI: A System for Enterprise Performance Management April 19, 2007 What We Are Announcing Oracle has acquired Hyperion Cash tender offer of $52.00 per share Approximately $3.3

485 views • 11 slides
Oracle SOA Suite Enterprise Service Bus Oracle Integration Product Management Oracle ESB Header

Oracle SOA Suite Enterprise Service Bus Oracle Integration Product Management Oracle ESB Header

Oracle SOA Suite Enterprise Service Bus Oracle Integration Product Management Oracle ESB Header Support Slide 2 ES B Header S upport Use Cases Files, JMS , AQ, MQ, B2B, Apps Header Transformation Uses XS L

617 views • 20 slides
Oracle Buys Ksplice Oracle Linux Enhanced with Zero Downtime Software Updates July 21, 2011

Oracle Buys Ksplice Oracle Linux Enhanced with Zero Downtime Software Updates July 21, 2011

Oracle Buys Ksplice Oracle Linux Enhanced with Zero Downtime Software Updates July 21, 2011 Oracle is currently reviewing the existing Ksplice product roadmap and will be providing guidance to customers in accordance with Oracle's standard

699 views • 14 slides
How to Stay Relevant * For Oracle Professionals whoami Never Worked for Oracle Worked with

How to Stay Relevant * For Oracle Professionals whoami Never Worked for Oracle Worked with

How to Stay Relevant * For Oracle Professionals whoami Never Worked for Oracle Worked with Oracle DB Since 1982 (V2) Working with Exadata since V2 Advisor to Enkitec (now part of Accenture) Founder of Gluent Exadata Book Hadoop

430 views • 32 slides
Oracle Partner Network (OPN) Specialisms Andy Butchart - Prject (EU) Ltd Frank Lauer - Oracle

Oracle Partner Network (OPN) Specialisms Andy Butchart - Prject (EU) Ltd Frank Lauer - Oracle

Oracle Partner Network (OPN) Specialisms Andy Butchart - Prject (EU) Ltd Frank Lauer - Oracle Dean Herback Oracle Agenda Frank Lauer Senior Manager Partner Enablement, Oracle Alliances & Channels - OPN Specialised Partners

394 views • 18 slides
Oracle Buys HyperRoll Strengthens Oracle Enterprise Performance Management to Accelerate

Oracle Buys HyperRoll Strengthens Oracle Enterprise Performance Management to Accelerate

Oracle Buys HyperRoll Strengthens Oracle Enterprise Performance Management to Accelerate Financial Reporting for a Faster Close October 26, 2009 Oracle is currently reviewing the existing HyperRoll product roadmap and will be providing guidance

135 views • 10 slides
Datenbanken IIB: DBMS-Implementierung Chapter 2: Basic Oracle Architecture and Administration

Datenbanken IIB: DBMS-Implementierung Chapter 2: Basic Oracle Architecture and Administration

Creating Users in Oracle Oracle Files Oracle Architecture Startup and Shutdown Datenbanken IIB: DBMS-Implementierung Chapter 2: Basic Oracle Architecture and Administration Prof. Dr. Stefan Brass Martin-Luther-Universit at

1.04k views • 88 slides
AWS to Oracle Cloud Migration Gemma Wood 1 About Me Gemma Wood Co-Founder of Cavanti,

AWS to Oracle Cloud Migration Gemma Wood 1 About Me Gemma Wood Co-Founder of Cavanti,

AWS to Oracle Cloud Migration Gemma Wood 1 About Me Gemma Wood Co-Founder of Cavanti, responsible for product development Oracle Developer since 1995, initially Oracle E-Business Suite. Focused exclusively on Oracle APEX for

556 views • 13 slides
IT-Symposium 19.04.2007 <Insert Picture Here> Oracle Rdb Release 7.2 & 7.2.1 Norman

IT-Symposium 19.04.2007 <Insert Picture Here> Oracle Rdb Release 7.2 & 7.2.1 Norman

IT-Symposium 19.04.2007 <Insert Picture Here> Oracle Rdb Release 7.2 & 7.2.1 Norman Lastovica Oracle Rdb Engineering www.oracle.com/rdb <Insert Picture Here> Steve Hagan, Vice President, Oracle Server Technologies For

286 views • 24 slides
Oracle SOA Suite Enterprise Service Bus Oracle Integration Product Management Multi Tiered

Oracle SOA Suite Enterprise Service Bus Oracle Integration Product Management Multi Tiered

Oracle SOA Suite Enterprise Service Bus Oracle Integration Product Management Multi Tiered Deployment Oracle ESB Slide 2 ESB Multi Tier Deployment Overview Topology 3 tiers: 1 Metadata(DT) servers, 2 runtime servers Oracle

337 views • 17 slides
StatusCake Provider The StatusCake provider allows Terraform to create and congure tests in

StatusCake Provider The StatusCake provider allows Terraform to create and congure tests in

StatusCake Provider The StatusCake provider allows Terraform to create and congure tests in StatusCake (https://www.statuscake.com/). StatusCake is a tool that helps to monitor the uptime of your service via a network of monitoring centers

466 views • 3 slides
Westminster e Forum Emma Robertson Emma Robertson June 2011 Commercial in confidence Impact of

Westminster e Forum Emma Robertson Emma Robertson June 2011 Commercial in confidence Impact of

Westminster e Forum Emma Robertson Emma Robertson June 2011 Commercial in confidence Impact of mobile & other technology on Retail 1. Breaking up the value chain New technology biting off pieces of the traditional Retailer role

271 views • 6 slides
Test your intuition! Each of 36 people picks a whole number at random, between 1 and 400. How

Test your intuition! Each of 36 people picks a whole number at random, between 1 and 400. How

Test your intuition! Each of 36 people picks a whole number at random, between 1 and 400. How likely is it that theres a number that gets selected more than once? A : More than 80% likely B : Around 60% C : Around 40% D : Less than 20% likely

829 views • 46 slides
Scientific Explanations Are Purposefully Limited to Natural Causes Robert C. Bishop Wheaton

Scientific Explanations Are Purposefully Limited to Natural Causes Robert C. Bishop Wheaton

Scientific Explanations Are Purposefully Limited to Natural Causes Robert C. Bishop Wheaton College 7/27/2017 1 13 th -century natural philosopher Albertus Magnus Distinguished between philosophy and theology on methodological

527 views • 15 slides
INTRODUCTION TO PROBABILITY INTRODUCTION TO PROBABILITY MODELS MODELS Lecture 21 Qi Wang ,

INTRODUCTION TO PROBABILITY INTRODUCTION TO PROBABILITY MODELS MODELS Lecture 21 Qi Wang ,

INTRODUCTION TO PROBABILITY INTRODUCTION TO PROBABILITY MODELS MODELS Lecture 21 Qi Wang , Department of Statistics Oct 12, 2018 DISCRETE RANDOM VARIABLES DISCRETE RANDOM VARIABLES Bernoulli Binomial Hypergeometric Poisson Geometric

480 views • 12 slides
Classification 1 Classification: Basic Concepts and Methods Classification: Basic Concepts

Classification 1 Classification: Basic Concepts and Methods Classification: Basic Concepts

Classification 1 Classification: Basic Concepts and Methods Classification: Basic Concepts Decision Tree Bayes Classification Methods Model Evaluation and Selection Ensemble Methods 2 Motivating Example Fruit

853 views • 66 slides
Announcements Announcements Reading for Wednesday Reading for Wednesday the rest of

Announcements Announcements Reading for Wednesday Reading for Wednesday the rest of

Announcements Announcements Reading for Wednesday Reading for Wednesday the rest of Chapter 2 (with a few exceptions) Check Check http://www.itk.ilstu.edu/faculty/kwsuh/courses/ ITK168/Fall2011/index.htm

704 views • 51 slides
Node.js Primer Introduction Your Guides Richard Key @busyrich Head of Technical Training

Node.js Primer Introduction Your Guides Richard Key @busyrich Head of Technical Training

Node.js Primer Introduction Your Guides Richard Key @busyrich Head of Technical Training & Support Modulus >7yrs Web Development Experience Degrees in Game Design & Programming JavaScript Ninja Taron Foxworth @anaptfox

1.86k views • 126 slides

More recommend