Para los que no saben que es Odoo, les explico, es un ERP que utilizan muchas empresas en todo el mundo, este sistema les permite llevar el control de todas sus operaciones, contabilidad, ventas, compras, facturas, nomina, manufactura entre otros.
Este sistema por si solo es muy robusto y seguro, sin embargo, existen muchas malas practicas al momento de implementar el sistema por parte de los consultores que realizan este proceso, puesto que la mayoría utiliza el método: siguiente, siguiente y finalizar. Dejando muchas configuraciones por defecto, tanto a nivel del sistema Odoo, así como del servidor que lo aloja.
Adicional a esto, pueden reglas de control de acceso mal definidas, que puedan brindar información para realizar vectores de ataque. Así mismo malas practicas de programación por parte de desarrolladores, creando vulnerabilidades que pueden ser explotadas.
Para atacar el sistema ERP, existen muchas formas, en este caso, buscaremos iniciar el ataque desde la tienda en linea, el sistema ofrece una tienda en linea integrada, permitiendo a clientes poder registrarse para realizar sus pedidos, pagar dichos pedidos y darle seguimiento a cada uno de ellos.
Imagen 4: Login a ERP Odoo con cuenta de usuario de portal.
Todo lo anterior, es el primer paso para atacar el ERP Odoo, aun tenemos que recopilar información del sistema, aprovechando reglas de acceso mal configuradas. Esto lo veremos en la siguiente publicacion.
Saludos.
LexerPars.
No hay comentarios:
Publicar un comentario