• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Брешь в безопасности 1С

  • Автор темы kaa
  • Дата начала
K

kaa



с сервером 1С, не прокатывает, а так получается :)
 
H

Hryv

В 1c пароли юзеров вообще, похоже, для красоты
В 7.7 их обойти также можно элементарно

Кстати, в 1С8 юзер может сам свой пароль поменять?
Или как в 7.7 их админ вносит
Потому что в 7.7 админ и так все пароли знает, зачем ему в таскенеджере их смотреть
 
R

Roman


на операционной системе Windows Server 2008 как 32 так и 64 битной под правами локального администратора

Ага над она машине локально, т.е подрузомевается что это админ просмотреть может ( а пароль в 1с нужен как-раз для пользователей, чтоб один из них не залез под чужим ником и не натворил бед, а потом списал всё на него, я так понимаю)
 
P

puh14

У меня терминалка, база файловая, версию платформы скажу в понедельник, аутенификация в 1с - навскидку не помню, тож в понедельник , под админом паролей не видать. Мож поправили? или наоборот внедрили? ;-)
 
K

KiR

Да что тут пугаться? если админ имеет доступ к серваку - он может сделать в принципе что угодно - например поменять юзверю пароль, и зайти под ним с новым паролем... так что тут спорный вопрос - брешь это или фича. хотя конечно 1Сники несколько сглупили запуская приложение командной строкой...
 
D

Darlock

Это атавизм.

тут спорный вопрос - брешь это или фича

В 8.0 не было фоновых заданий и запуски для бэкапа/обмена делался через запуск еще одного сеанса, а в параметрах к запуск. файлу указывались логин/пароль.

В 8.1 появились фоновые задания и эта необходимость отпала, хотя осталась для совместимости с конфигурациями сделанными для 8.0
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!