Metodología o Checklist para auditar un sistema SAP

DragonJAR 336x280 Metodología o Checklist para auditar un sistema SAP

Hablando con varios amigos, sobre el problema que uno de ellos tenia para auditar un sistema SAP y al buscar para ayudarle con ese problema, nos dimos cuenta de la poca documentación existente para realizar un Pentesting de manera metódica en un sistema SAP, no encontramos fácilmente una guía o checklist a seguir para auditar efectivamente estos sistemas.

Seguridad SAP Metodología o Checklist para auditar un sistema SAP

Aunque conocíamos buenas herramientas como Sapyto, un framework para auditoria de sistemas SAP del que ya habíamos hablado en la comunidad, y una excelente charla que dio Mariano Nuñez Di Croce, su creador, donde habla de pentesting a sistemas SAP, seguíamos sin encontrar una metodología a seguir, por eso decidimos preguntar en Twitter si alguien conocía alguna metodología para realizar un pentest en sistemas SAP y la respuesta fue tan buena que dio lugar a la creación de este post, donde pretendemos reunir en un solo lugar, los mejores recursos que puedas llegar a necesitar cuando realices una auditoria a sistemas SAP.

El primer recurso que les comparto es la charla de Mariano Nuñez sobre Pentesting en Sistemas SAP:

VIDEO

En los aportes que nos realizaron se encuentra la Guía de Seguridad para sistemas SAP NetWeaver, pero también unas directrices para auditar SAP ECC creado en el 2009 por Nishant Sourabh un empleado de IBM, que eran justo lo que necesitábamos:

Descarga las directrices para auditar SAP ECC de este enlace

Pero también documentación creada por la misma SAP con lineamientos para auditar SAP R/3 que nos ayudaran mucho en la tarea de auditar sistemas SAP.

Descarga los lineamientos para auditar SAP R/3 creados por SAP

En español encontramos un portal dedicado enteramente a la seguridad SAP llamado SeguridadSAP.com, el cual recomendamos totalmente desde La Comunidad DragonJAR, también agradecemos Space Cowboy (@EspeisCouboi) y Alberto Hil (@bertico413), por su colaboración.

Mariano Nuñez (creador de sapyto) ha compartido con nosotros mas información y herramientas para ampliar nuestra lista:

muchísimas gracias por el aporte y mariano.

Si tienes mas aportes en esta materia dejalos en los comentarios, para que juntos construyamos un buen listado de recursos para auditar sistemas SAP.



Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra Fanpage Siguenos en Twitter

Autor: DragoN

Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales. Information Security Researcher con más de 10 años de experiencias en Ethical Hacking, Pen Testing y Análisis Forense. Docente Universitario en Pre y Post-Grado, Speaker y Organizador de diferentes eventos de Seguridad Informática, Fundador del DragonJAR Security Conference y Fundador de DragonJAR SAS y de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de habla hispana y referente en el sector.

Compartir este Artículo
  • http://www.netsecure.com.ar q3rv0

    dragon podras hacer el proximo post de como crear la base de datos en el metasploit 3.7.0 usando el driver postgresql, ya que hay problemas tanto como en el mysql muchas gracias saludos desde argentina

    • sapietin

      http://www.backtrack-linux.org/forums/backtrack-howtos/28933-metasploit-db_autopwn-using-postgresql.html

      Si tienes problemas con postgeSQL o no lo tienes instalado descarga la ultima versión con el apt, la última versión creo que es 8.4

      cambias password de usuario postgres de sistema UNIX, tiras el servicio despues inicias un terminal con este usuario y realizas el cambio de password del usuario postgres del BBDD. Reinicias el servicio y en metasploit: “db_driver postgresql” Ahora usas un db_connect postgres:[email protected]/metaesploit3

      Te creará las tablas y listo

  • CamiloX
  • http://peritocontdor.wordpress.com wolf58

    Hola CamiloX

    Excelente material; pregunto ¿Con que programa abro el archivo terminado con la extension *.djvu?. Este corresponde al segundo enlace.

    Saludos

  • chichonet

    Gente de la comu!!!! miren encontré esto también http://www.mundosap.com/ abrazo!!

  • Mariano

    Ey Dragon, buenisimo el update. Voy a mantenerte actualizado con lo ultimo que vayamos investigando sobre este tema!

    Un abrazo,

    Mariano

  • Pingback: Alguien ha utilizado Bizploit para auditar un ERP/SAP?()