fos pos wow что это

Fos pos wow что это

hey I’ve been playing WoW on the real servers for many years and now changed to Warmane / Deathwing. I have my first 80 char now and wanted to do Forge of Souls on normal, and it all works. However, when I enter the dungeon, I somehow get the wrong quest. I get the quest for Halls of Reflection called «Wrath of the Lich King» in Forge of Souls, instead of «Echoes of *something*». That means, I can’t enter Pit of Saron because I can’t complete the required quest. I’ve tried declining and accepting the quest many times now, but I always get the HOR quest, no matter what.
And just to make it clear, I’m speaking of the very beginning of FOS, where you’re supposed to get the very first quest.

Can someone tell me if I’m the only one that has this problem, and what I can do against it? I’ve also contacted a GM but it might take a while to get a response.

you get the quest in dalaran

indeed at one of the dalaran banks the questline starts. why the HoR quest is offered idk, not sure if that was on retail aswell. but the start in dala was 😉

if i remember correctly jaina gives you 2 quests on warmane, one is for hor and the other should be to clear fos, you turn it in after you kill the devourer of souls, jaina and the npcs should come from the same way you got in the room. That should allow you to enter pos

LOL dude and i have that problem wtf i can’t find quest for fos pos wtf

Источник

Fos pos wow что это

New to the game and server and just need some help understanding how things work around here.

I just reached 80 on my paladin but broke so I was told to level up blacksmithing and mining to farm gold, which I am working on right now (hope I’m not on the wrong track?) So is the goal now to farm normal FOS/POS/HOR and then move on to HC version of them? How much GS should I get up to before moving to HC? What’s next after HC FOS/POS/HOR? I’m reading a lot of people spamming on /global for ICC/TOC/VOA?

Also for PVP, how does the system work? Do people just queue for BG or do they create arena teams and farm? How does the BG token/AP translate into gears? How do all the gears rank? I see some people walking around with Wrathful Gladiator, etc etc.

Any help is appreciated! Thanks!

For dungeons, even 1800 gs is enough for fos normal to do. After fos/pos normal > do fos/pos heroic then hor. After that do voa25/10 with 5k gs and do icc10/25 low gs runs or newbie run.

Farming gold is easy with daily quests or just doing other quests that are level 80, if that bothers you, then go with mining and farm 24 hours.

For pvp, it’s busted with shadowmourne users but you can get yourself some »ok» gear. Also you can get pvp gear with voa. For other small questions, better go to wow wiki.

Is there a specific amount of gs I should reach before doing fos/pos hc then hor?

Also, what daily quests give you gold? Where do I find them? I didn’t know that.

Is there a specific amount of gs I should reach before doing fos/pos hc then hor?

Also, what daily quests give you gold? Where do I find them? I didn’t know that.

I said GS to do heroic mode, not normal mode. Also what about HOR?

Bro, you do not need gear score for heroics to queue, you need items. You need minimum all blue items in your slots to be able to queue heroic rdf. Buy some items from AH (the max ones that are expensive for your class) and some blues and there ya go. Hor is just pain in the *** if you got no gear, hor is most dependent on dps. If dps is small > it’s just wipe.

Hor is the last one you will get chance to queue as it’s the hardest.

Ahh okay, didn’t know about the blue items. Thanks for all the info man!

Hor is the last one you will get chance to queue as it’s the hardest.

Are you sure about that? I can simply lay off some of my gear and still queue up for RDF HC even without anything equipped in some gearslots. I’m pretty sure its connected to your GS.

Because if it’s the way you describe it I could simply put lvl 20 blues in my gearslots and que for RDF HC, which isn’t working.

Edit: Also, finding a group for FOS / POS with a gearscore of 1800? Good luck.

Edit2: For Daily Quests i recommend the Argent Tournament Grounds, the Shadow Vault, the Orgrim’s Hammer (on horde side) and Death’s Rise. All of them are located in Icecrown and mostly require you to work your way up the questlines in said zone, which already makes you a ton of gold.

rdf hc requires an average ilvl of i think 187. it has nothing to do with gs, nor the color of your gear.

Well, an average ilvl of 187 gives you a certain amount of GS. I’m fully aware that GS is an addon which just shows you a number that is connected to the ilvl of the gear you’re wearing. Thanks for clarifying, tho.

Are you sure about that? I can simply lay off some of my gear and still queue up for RDF HC even without anything equipped in some gearslots. I’m pretty sure its connected to your GS.

Because if it’s the way you describe it I could simply put lvl 20 blues in my gearslots and que for RDF HC, which isn’t working.

Edit: Also, finding a group for FOS / POS with a gearscore of 1800? Good luck.

Edit2: For Daily Quests i recommend the Argent Tournament Grounds, the Shadow Vault, the Orgrim’s Hammer (on horde side) and the Dreadwind Post. All of them are located in Icecrown and mostly require you to work your way up the questlines in said zone, which already makes you a ton of gold.

I said it is blue because usually level 80 blue items are something good and they will allow you to enter rdf heroic. Don’t know their actualy item levle, but every level 80 blue should do it. That’s why I name it as blue. Also gs doesn’t get any impact..

You literally said in your previous post that the minimum requirements to que HC RDF are ‘minimum blue items in every slot’, which doesn’t do the trick if he’s not getting the average ilvl, as Skuddy pointed out. You didn’t even say anything about level 80 gear, simply ‘blue items’. And if you understand how GS works, you know that your ilvl is directly connected to the amount of GS you get, which means it totally has an impact. I guess you didn’t read my previous post.

When I say all blue items, it means blue items that are of level 80 for character. If anyone thinks that when you’re 80 you put level 20 blue items than he is stupid. I highly think he is smart enough to know what’s going on.

Also for gs, no it doesn’t have impact on the queue. Even with having 4500 gs > you still cannot queue to heroic dungeons if one of your items are low item level. So GS doesn’t have any impact. I just guess you do not understand that.

What are you talking about? I can queue for RDF HC even with 4 empty slots on my gear. You don’t have to put any item in a slot aslong as your average item level, which reflects your GS, is high enough.

I’ve already noticed you really like to argue, even tho you don’t have a clue what you’re talking about. Do I really need to upload screenshots to prove you wrong? Are you that stubborn?

Example: Sometimes, when I’m not in the mood for HOR/FOS/POS HC, I simply put half my gear in my bags so that my GS/ilvl isn’t high enough to get into them. But I still get into all the other HC dungeons. Try it. Open the dungeon finder, select ‘Specific Dungeon’. When your GS goes below around 3800, FOS/POS/HOR HC gets locked, while all the others will still be available to you. You can even fill the empty slots with grey level 1 gear. It will still be the same result. (Refresh the window when you do so. )

Do your research before you talk. I believe people have given you this advice more than once on this forum.

Источник

Fos pos wow что это

Normal FoS, PoS, HoR, ToC

FoS/PoS/HoR have questlines, you have to complete FoS first, then PoS, and only then you can enter HoR. Keep in mind you have to complete the questline too not just the dungeons themselves.

at around 3.3-3.5 you should be able to enter fos.

you get a quest there. as soon as you enter.. which leads to pos and in turn leads to hor.

but you need better gear for pos and even better for hor.

so better get some friends or guild mates to carry you at this level.

Then as other have said you do them all starting with fos onwards. As for ToC, dont think theres a questline for that.

FoS/PoS/HoR were added much later than the other dungeons. They are designed to get people faster into raids. The heroics you are talking about are dropping ilvl 200 items max. FoS norm is dropping 219, heroic is dropping 232. Some of the trashpacks are arguably harder than other heroics in total.

Do you have any greens equiped by any chance?

dungs normally check item levels.. not the GS..

If you have heirlooms then they are the problem. Although heirloom items have decent gearscore, their item level is 1. Dungeons check your itemlevel in order to determine if you are ready for it or not. Always as soon as you hit level 80 try to replace those heirlooms.

The requirement is glitched. Both normal and heroic versions of T10 dungeons unlock at iLvl 206 even though mormals should unlock at 180.

Edited: March 8, 2017 Reason: (Meant to quote, ended up double posting)

^ This. The trash pulls in FoS HC are harder than the actual bosses, imo.

And PoS is more a check on if you know how to actually fight Tyrannus, rather than how much dps you can do. That said, the Flamebearer groups (on the hill path to get to Tyrannus) are harder than the actual boss fights in there too.

You do need a certain level of gear (at least all 219 to 232) to really do well in FoS and PoS HC, since there’s a ton of damage coming in, in a very short amount of time, so you need to be able to tank / dps / heal through it, while keeping your cool and killing the mobs down in order.

HoR NM and HC can be challenging too, the first half is being about to working well together as a group, and the second half is almost pure dps, since you have to kill the mobs before LK gets to you each time a wall goes up. Even with 5k + groups, there’s still barely any time to mess up at all, or it’s a wipe. And HoR is one of the most pain in the *** dungeons to wipe on, since you have to repeat all the waves on the first half if you do, and if it’s the second half, well, it’s pretty much a RO.

Источник

POS, безопасность и вот это вот все. Разбираем уязвимости популярной Retail-системы

Всем привет. Сегодня хотелось бы с вами поговорить о Point of Sale (далее POS) системах, их архитектуре и безопасности. Вероятно, постпраздничный шок от длинных очередей в магазинах прошел, и самое время посмотреть, что же находится за этой завесой социальных коммуникаций. Исследование, описанное ниже, было проведено @chipik и мной.

Современные POS-системы представляют собой комбинацию программных и аппаратных решений, позволяющих проводить платежные операции и облегчающих ежедневные бизнес-процессы. Говоря о POS-ах, обычно имеют в виду кассовые аппараты, терминалы оплаты и другие привычные состовляющие торговых магазинов. Однако, архитектура POS не ограничивается только этими элементами. Что же касается безопасности, то, казалось бы, это тема не новая: начиная с 2012 года, почти на каждой конференции BlackHat USA был доклад о платежных системах (тут, тут, тут, тут). Но все эти доклады, будучи очень близки к обсуждаемой теме, все же немного о другом.

Чтобы стало понятнее, давайте рассмотрим процедуру оплаты в обычном магазине:

Сначала покупатель проводит картой по считывателю терминала для оплаты своих покупок. Данные кредитной карты поступают в терминал, откуда отправляются в POS-систему. Далее, POS-система связывается с PSP (Payment Service Provider), который, в зависимости от типа кредитной карты, обращается в банк для прохождения процедуры авторизации транзакции. Как раз в этот момент покупателю предлагается ввести PIN-код для подтверждения транзакции. Если все прошло успешно, код авторизации возвращется из банковской сети в PSP и передается в POS-систему и терминал. Все вышеописанные коммуникации происходят в течении пары секунд.

Исследования и атаки, которые упоминались в начале, в основном направлены на платежные терминалы, на взаимодействие с ними покупателей. Сегодня же будет рассмотрена другая часть – POS-системы, через которые проходят данные о транзакции.

Мы уже несколько раз говорили о различных бизнес-процессах, в чем же они заключаются? Рассмотрим, например, классический сетевой магазин. В магазине есть менеджер, скорее всего, их несколько. Каждое утро менеджеру необходимо открывать магазин, а затем и POS-терминалы. Хочется заметить, что POS-терминалы – это не то же самое, что и платежные терминалы. Первое изображение – это платежный терминал, а второе – POS-терминал.

Во время запуска POS-терминалы синхронизируют время и получают обновленные параметры с сервера магазина, включая цены на товары, информацию об их наличии и другие служебные данные. После этого кассиры могут залогиниться за своими рабочими местами и начать работу. Очевидно, что каждое действие на кассе логируется.

В конце дня менеджеру необходимо повторить процедуру в обратном порядке: сначала закрыть кассы, а после – магазин. После этого действия ни одна транзакция не может быть проведена до открытия магазина. Во время закрытия POS-терминалы отправляют свои логи на сервер. Это и есть те бизнес-процессы, о которых упоминалось выше. Именно их POS-системы позволяют упростить и облегчить.

На рынке POS-систем решений довольно много, и подразделяются они на группы продуктов для малых, средних и крупных организаций.

По большей части, они имеют схожую архитектуру. В этой статье мы подробно рассмотрим решение компании SAP: «SAP Point of Sale». Мы также исследовали продукт компании Oracle – MICROS, в котором нашли похожие уязвимости, закрытые в январе 2018 года (CVE-2018-2636).

О компании SAP можно узнать подробнее на официальном сайте. В двух словах: SAP разрабатывает большие ERP-решения для крупных компаний. POS-системы как продукт появились у SAP в 2005 году, когда она поглотила другую фирму – Triversity Transactionware GM, занимающуюся исключительно POS-решениями.

Архитектура SAP POS

Архитектура этой системы состоит из трех частей: Front Office, Back Office и Head office. К первой относят клиентскую часть, т.е. POS client и Mobile POS Client, являющиеся POS-терминалами, за которыми работают кассиры. Front Office соединен с Back Office, где находятся непосредственно локальный сервер магазина (Xpress Server), база данных (Database) и решение для локального управления POS-системой (Store manager), используя которую, менеджер открывает и закрывает магазин и терминалы.

Говоря о локальном решении, мы имеем в виду конкретный магазин, поскольку SAP POS – это продукт для крупных организаций, и архитектурно он задумывался для сети магазинов с центральным управлением. Иными словами, в этом случае, локальное решение – это POS-система одного из магазинов сети.
Глобальное управление сетью магазина осуществляется из головного офиса, с использованием Store Configurator, который соединен со всеми серверами магазинов.

Общий обзор сделан, теперь давайте рассмотрим, как все это устроено поподробнее. А двигаться будем в следующем порядке:

Head office

Store Configurator представляет собой приложение, которое позволяет настраивать в POS-системах абсолютно все. Нет, не так, АБСОЛЮТНО все, начиная с пользователей и внешнего вида экрана кассира и заканчивая шифрованием и иными настройками безопасности.

Как же все это реализовано? После внесения изменений в Store Configurator администратору необходимо нажать «convert», и на файловой системе в папке «Store Configurator/data/parm/» будут созданы специальные файлы с этими параметрами.

Содержимое файлов – это текстовое представление параметров, указанных в Store Configurator. На изображении ниже – файл rcptlogo.rcp.

Далее, администратору необходимо скопировать эти файлы в папку «/Xpress Server/parm/» каждого сервера магазина. Среди файлов, созданных Store Configurator, есть один «особый». Он называется «newparm.trg», и содержит в себе один лишь символ «Z». Xpress Server (сервер магазина), каждые 30 секунд проверяет папку «/parm/» на наличие этого файла. Если находит его, применяет обновленные параметры из загруженных файлов и удаляет «newparm.trg». Таким образом, этот файл выступает в роли своеобразного триггера обновлений.

Back office

Следующий на очереди — Back Office, а точнее – коммуникации внутри него. Он состоит, как уже было сказано ранее, из Xpress Server, Database и Store Manager. Все эти компоненты могут быть установлены как на одной машине, так и на разных. Store Manager взаимодействует с базой по стандартным портам и в данном случае очень напоминает Store Configurator с ограниченным функционалом и той лишь разницей, что записывает изменения параметров в базу данных напрямую, используя stored-процедуры.

В рамках исследования системы были найдены две забавные процедуры: ssp_insert_backdoor и ssp_delete_backdoor. Основная их цель – создать пользователя с именем «back» и паролем «door» и повышенными привилегиями. Конечно же, сделано это лишь на тот случай, когда все пользователи в POS-системе забудут свои данные авторизации.

Взаимодействие Store Manager и Xpress Server осуществляется по порту 2202, и выглядит более интересным. Изучая функционал Store Manager, мы обнаружили раздел Store Administration, который предоставляет любопытные возможности:

Посмотрев пакеты, которые Store Manager отправляет на порт 2202 Xpress Server-а (куда же без WireShark), мы увидели plaint-text команды. «It`s telnet protocol and the port is used for monitoring and not critical configuration,» – узнали мы из документации. Окей, а что если мы попробуем подключиться к этому порту с посторонней машины?

Как оказалось, никакого white list не предусмотрено. По умолчанию, этот порт открыт, и нет никаких рекомендаций по его закрытию в Security Guide. Естественно, ограничить доступ к портам можно сторонними средствами, но мы же смотрим на безопасность POS-системы, верно?

После подключения к Xpress Server на порт 2202 нас встречает приветственное сообщение с версией POS системы. Команда «help» возвращает список доступных функций:

Из названий этих функций вполне понятно их назначение. Отсутствие какой-либо проверки позволяет анонимно открывать и закрывать POS-терминалы, мониторить все, что происходит на них (например, при покупке в консоль выводится содержимое чека) или просто выключить Xpress Server.

Стало очень интересно, как реализованы эти функции в коде, и все ли команды отображены в выводе «help». Процесс, обрабатывающий приходящие запросы, – xps.exe. Немного реверса, и был найден перечень возможных команд. Их оказалось чуть больше 17… их 74. 74 команды принимает и обрабатывает Xpress Server с порта 2202. Описывать все было бы слишком долго, остановимся на самых интересных.

APM-VALIDATE-PASSWD – позволяет проверить данные авторизации, введенные пользователем. Эта команда возвращает три различных кода: 0 – если логин и пароль введен правильно, 1 — если неправильный пароль, 10 — если пользователя с таким логином не существует. Очевидно, ничто не мешает потенциальному нарушителю, находясь в локальной сети магазина, перебрать все возможные комбинации логинов и паролей (логин может состоять только из цифр) и получить данные для доступа к POS-терминалам.

Но brute-force — это же не очень круто, поэтому существует иная команда, Reset password, которая изменяет пароль пользователя на новый. Все, что нужно знать, – это логин, который может быть получен перебором. И еще одно маленькое уточнение. В этой POS-системе логин может состоять только из цифр, что значительно облегчает гипотетический перебор.

Команды FILE-FIND, FILE-OPEN и FILE-READ позволяют найти, открыть и прочитать данные на файловой системе Xpress Server. Вы же еще помните, что все это происходит без регистрации и смс, анонимно? Любопытно, что параметры команды FILE-OPEN передаются напрямую в C++ функцию fopen(), и если неправильно указать режим, то приложение Xpress Server получает ошибку и завершает свою работу.

Перейдем к последней части обзора.

Front office

POS-client, он же POS-терминал, подключается к серверу по порту 2200. Вся информация, все транзакции и вообще все коммуникации происходят именно по этому порту и только в таком направлении: инициатором является клиент, а сервер просто принимает и отвечает на запросы. Если вспомнить бизнес-процессы, то все происходит следующим образом. В начале дня, когда менеджер открывает POS-терминал, он отправляет пакет на сервер: «Сервер, я терминал номер 5, я открыт, пришли мне новые параметры и давай синхронизируем дату и время». В конце дня, когда менеджер закрывает POS-терминал, он отправляет на сервер свои логи. Ну и, конечно же, после каждой транзакции данные о ней и об изменении количества товаров также отправляются на сервер. Посмотрев трафик между POS-терминалом и Xpress Server, мы обнаружили, что пакеты на получение и загрузку файлов имеют определенную структуру:

Len – длина отправляемого пакета. Where – место, куда записываем данные. What – место, откуда берем данные. End – пара NULL-байт. Type – тип пакета, в зависимости от которого с пакетом будут выполнены те или иные действия. Пакеты могут быть:

Так, например, для того, чтобы получить файл с настройками у сервера, POS-client отправляет пакет типа R на порт 2200:

В ответе POS-client получает содержимое запрашиваемого файла и записывает его себе в специальную директорию. При попытке продублировать отправляемый POS-client-ом пакет с другой машины в ответе было также получено содержимое файла на сервере. Как мы видим, здесь также нет никаких проверок: порт 2200 Xpress Server принимает и обрабатывает пакеты от любой машины.

Это показалось забавным, но на чтении файлов далеко не уедешь. Давайте попробуем собрать набор пакетов для загрузки своего файла на сервер. Ведь POS-client как-то же записывает логи на сервер, правильно?

Во-первых, отправляем пакет типа S. Поле Where содержит путь на сервере, куда мы будем записывать данные, поле What необязательно, поскольку мы все делаем вручную, но очень важен размер Size, в котором мы указываем размер следующего, второго, пакета. Он будет типа F — FILE_DATA и будет состоять из своего размера и данных (содержимое), которые мы хотим записать на сервер. Ну и третий, последний пакет типа С — конец файла. После этого, Xpress Server записывает файл в указанную директорию и возвращает пакет типа G — GOOD. Любопытно, что если отправить пакет с неправильным полем Size, Xpress Server удалит файл на сервере. Ниже вы можете увидеть видео-POC анонимной записи, чтения и удаления файла:

Таким образом, из-за отсутствия каких-либо проверок, любой человек, который может подключиться к этому порту, может читать, записывать и удалять файлы на сервере.

И что из всего этого можно получить? Давайте посмотрим, чего можно достигнуть, скомбинировав вышеописанные возможности.

Итак, атакующему необходимо иметь доступ в локальную сеть магазина. Обычно получить его не составляет особого труда, т.к. периферийные устройства, включая весы, регулярно стоят в залах, и доступ к ним не ограничен.

Давайте суммируем наши знания о системе:

Комбинация этих особенностей позволяет изменить любой параметр в SAP POS-системе.
Допустим, атакующий хочет приобрести какой-то товар, скажем, за доллар.

Вот, собственно, и все. Но чего-то все же не хватает, а именно — возможности удаленного выполнения команд на сервере. А она, в общем-то, есть.

Каждый раз, когда Xpress Server обновляет параметры, т.е. находит триггер-файл «newparm.trg», он ищет и запускает два «.bat» файла: «XPSPARM.BAT» и «StopTN.BAT». А это означает только одно – атакующий может их перезаписать и выполнить скрипт с reverse-shell на себя.

Это будет выглядеть примерно так: атакующий заменяет файл «XPSPARM.BAT» на свой, используя порт 2200; записывает файл «newparm.trg», тем самым вызывая обновление параметров и запуск «*.bat» файла.

Шифрование

Да, в SAP POS применяется шифрование, но по умолчанию, «из коробки», оно отключено. Если шифрование настроено, то все важные данные передаются в виде шифротекста. Стоит уточнить, что шифруются именно данные, а не коммуникации между элементами системы. Например, если мониторить транзакции на терминале с включенным шифрованием, то мы получим в ответе шифротекст только вместо номера кредитной карты, остальные же данные будут переданы в открытом виде.

В этой таблице приведены имена таблиц и поля, которые должны пройти процедуру шифрования. В то же время, есть дополнительная таблица «CryptoRegister», где перечислено то же самое, но с указанием «уровня» шифрования. Так, например, пароли пользователей хранятся в виде хэш-значения и имеют уровень шифрования 4, а номера кредитных карт шифруются 3DES и имеют уровень 3.

SAP POS использует для хранения и генерации ключей инструмент «TWSecurity». При его запуске создается специальный «контейнер», и доступ в него возможен только по паролю, в котором хранится ключ шифрования. Поскольку 3DES – это симметричный алгоритм, ключ должен быть одинаковым на всех элементах системы: Front Office, Back office и Head office. Т.е. после создания контейнера его необходимо экспортировать на все части POS-системы. Доступ к ключу осуществляется только по токену, который прописан в реестре. И все было бы круто, но есть одно «НО».

Ключ (вернее его токен), который используется для шифрования данных, задается в Store Configurator… а это значит, что он конвертируется, как и другие параметры, в специальный файл, и может быть изменен атакующим на пустое значение для отключения шифрования в SAP POS.

«Мы патчили, патчили и наконец-то запатчили!»… или что делать в сложившейся ситуации

На данный момент, описаные в этой статье уязвимости закрыты. Да, не с первого раза, получилось почти со второго. Так, первая SAP Note 2476601 вышла 11 июля 2017 года, имела CVSS 8.1 и носила название «Missing Authentication checks in SAP Point of Sale (POS) Retail Xpress Server». В ней был запатчен доступ к порту 2202 (telnet). Это было сделано добавлением нового параметра «BACKOFFICEIPADDRESS», который по умолчанию имеет значение «localhost». Но, в то же время, не было ни одного упоминания о второй уязвимости на порту 2200, которая прекрасно работала и позволяла злоумышленникам удаленно исполнять команды, давая возможность «обойти» свежий июльский патч, просто изменив этот параметр. Наша команда сообщила об этом недочете SAP Product Security Response Team, которая выпустила целых две SAP Note – 2520064 и 2520232, 18 августа 2017 года. SAP Note 2520232 удаляет две stored procedure: «ssp_insert_backdoor» и «ssp_delete_backdoor». SAP Note 2520064 принес больше изменений. Этот патч добавил 3DES шифрование почти ко всем пакетам, которыми обмениваются различные элементы SAP POS: POS-client, Xpress Server, Store Configurator, Store Manager. Т.е. сейчас, даже имея возможность подключения к открытым портам, не зная ключа, у нас нет возможности повлиять на POS-систему: сервер не понимает приходящие к нему незашифрованные пакеты и просто отбрасывает их.
Это действительно интересное решение, но и здесь не обошлось без казусов. Почти сразу после выхода SAP Note на форумах стало появлятся множество сообщений о том, что не работает Store Manager. Дело в том, что SAP забыл о Store Manager, вернее о том, что этот компонент взаимодействует не только с Xpress Server, но и с базой данных. Когда Store Manager отправляет зашифрованный пакет в Базу данных, она возвращает ошибку в открытом тексте, которую Store Manager не может расшифровать и просто crash-ится. В связи с этим, вышел финальный патч, который исправляет ошибку предыдущего патча. Тем не менее, лучшим решением для защиты от возможных атак на вашу инфрастурктуру являются пусть и не всегда удачные, но регулярные обновления.

True story

А вот и любопытные вести с запада: Forever 21, Калифорнийская компания, «US fashion retailer», которая занимается продажей одежды по всему миру с 1984 (815 магазинов, 57 стран, США, Австралия, Бразилия, Китай, Франция и т.д.), 28 декабря 2017 года подтвердила информацию о том, что часть ее POS-систем была скопроментирована в период с 3 апреля по 18 ноября (. ). Эксперты утверждают, что злоумышленники имели анонимный доступ в сеть POS-систем и использовали его для установки вредоносных программ с целью сбора информации о кредитных картах покупателей (номер карты, срок ее действия, владелец, код проверки подлинности). Забавно, что шифрование критических данных в этих системах было отключено (да-да, не работало) аккурат в период с 3 апреля по 18 ноября. Видимо, шифрование не является большой проблемой не только в SAP-системах. К сожалению, точной информации о том, какие именно POS-системы были скопрометированы, найти не удалось. Если верить новостям, то 28 июня 2017 года Forever 21 подписала контракт с Toshiba Global Commerce Solutions о поставке своих систем, но к этому моменты текущие системы уже были скомпроментированы.

Источник