Программный продукт 1С получил на наших просторах большую популярность. Многие компании, начав использовать 1С7.7 продолжают с ним работать, хоть давно есть новые версии продукта 1С: Предприятия.
1С7.7 перестала обновляться в 1999 году. Т.е. 21 год назад данный программный продукт не изменялся. В те времена мало задумывались о безопасности систем. Как результат – полное отсутствие механизмов безопасности в данном программном продукте.
Многие компании, которые используют 1С7.7, используют его файловый вариант на базе устаревших на данный момент dbf-файлов. Даже если используется 1С7.7 с MsSQL (что редко бывает), этот вариант взламывается в 2 счета с помощью перехвата пароля и логина администратора базы данных, который пересылается при подключении к базе данных клиент-серверными программами.
В данной статье, не будем рассматривать вопрос взлома 1С7.7 на базе MsSQL, т.к. хоть этот взлом прост, тем не менее, требует некоторых специальных знаний от взломщика.
Взлом же 1С7.7 на базе dbf-файлов может провести даже не квалифицированный пользователь компьютера (не то, что “продвинутый пользователь”).
Взлом 1С7.7 на базе DBF-файлов
Имеем базу данных 1С7.7. Запускаем 1С7.7. В открывшемся окне смотрим путь к базе данных:
При входе в базу данных запрашивается пароль и имя пользователя. Создается впечатление защищенности программы.
Идем в каталог, который посмотрели при входе в программу. Видим ВСЮ БАЗУ ДАННЫХ. Нам никто не помешает скопировать всю базу данных, сделать в ней изменения или удалить её. При этом, сложно будет обнаружить, кто это сделал. И админ даже не увидит, что базу данных “увели”.
Если хочется получить административный доступ, переименовываем каталог usrdef, входим под админом – не запросится ВООБЩЕ пароль и логин. Сделав все необходимые изменения – восстанавливаем данный каталог обратно. И админ маловероятно, что заметит, что модифицировали данные. А даже если заметит, ему сложно будет доказать это ))).
Не пользуйтесь старым, “дырявым” программным обеспечением, которое может взломать даже младенц!
Автор: Сергей Рудюк
https://corp2.net
Leave a Reply