Question

为什么在SAP RFC通讯中使用用户名和密码是不安全的

众所周知，HTTP协议是明文传输的，黑客使用sniffer软件来监视网络中的数据包，可以轻易获得通过http协议传输的数据，包括用户名/密码，以及银行账户等敏感数据。为了避免这一问题，标准的浏览器中均引入了SSL协议，用来加密浏览器与服务器之间的通讯信息。在SAP环境中，也是同样的道理。SAP RFC应用与SAP服务器之间的通讯，标准情况下，也是明文传输的。使用sniffer软件也能截获传输的用户名和密码。针对这一问题，SAP建议用户使用SNC协议（Secure Network Communication）来对通讯进行加密。但是缺省情况下，SNC功能在SAP中是没有激活的。现实情况下，也很少有程序能够利用到SNC的功能，这为SAP带来了很大的安全隐患。本文就是针对SAP RFC通讯中所存在的安全隐患，做一个演示，来试图获得RFC通讯中传输的用户名和密码。

Answer 1

第二步使用sniffer软件监视通往SAP服务器的数据包，然后执行上一步所提到的RFC连接程序。在截获的数据包中，对RFC通讯中传输的数据进行分析，如下图第三步，分析上图中分为三列，最左侧是地址，中间是16进制的传输数据，最右侧是对应的用于显示的ASCII值。在最右侧可以清楚地看到登录IP（10.56.0.67），机器名（wscn-bshi），还有登录用户名(DDIC)。那么密码在什么地方呢？经过对数据的分析，我们发现，密码就位于中部用红线标明的位置-“42 5b a0 15 85 63”。此数据并不是对应的SECUDE的ascii码值，看来是SAP对密码进行了混淆。经过进一步分析，此密码是与一个固定的KEY值XOR之后的结果。经过逆向处理，我们得到了密码的原始值“SECUDE”。结论：在RFC程序中使用用户名/密码方式来访问SAP系统是不安全的，网络sniffer工具完全能够找出RFC通讯中的用户名和密码，从而对SAP系统安全带来极大的风险。针对SAP通讯中存在的明文传输的问题，SAP强烈建议在生产环境中，对SAP GUI/RFC程序与SAP服务器之间的通讯，使用SNC对通讯加以保护。（SAP Note 39029）注：此文档仅限于技术交流，不得用于非法获取SAP系统的用户名密码。为了避免非法使用，我们没有将KEY值展示出来。通过互联网，应该可以找到操作的KEY值。

Answer 2

第一步，使用JCO写一段连接sap的java代码，用于模拟rfc的连接。代码如下注意登录的用户名和密码为 ddic/secudeimport com.sap.mw.jco.*;public class CheckJCO { public static boolean getConnection(String hostName, String clientNo,String systemNo,String userid,String password){ JCO.Client client = null; boolean bcon=true; try{ // Create a client connection to a dedicated R/3 system client = JCO.createClient( clientNo, // SAP client userid, // userid password, // password "EN", // language hostName, // host name systemNo ); // system number // Open the connection client.connect(); }catch (Exception ex) { bcon=false; } finally { if (client != null) client.disconnect(); } return bcon; }public static void main(String[] argv){ System.out.println(CheckJCO.getConnection("10.56.0.175", "000", "00", "ddic", "secude"));}}