【PConline 资讯】安全公司ERPScan的研究员最近发现了一个SAP POS Xpress Server的漏洞，这个漏洞允许攻击者任意更改SAP销售点系统的配置文件和产品价格，还能收集消费者的银行卡数据。如果有黑客通过这个漏洞修改了MacBook Pro的价格，那么花6块钱（1美元）买到MacBook Pro也是极有可能的。

　　ERPScan指出，SAP POS系统没有任何身份验证措施，当他们与SAP POS Xpress Server处于同一网络环境时，黑客不需要任何凭证就能进入系统修改关键功能。同时，如果支付系统与Internet相连，j2直播，黑客也可以进行远程攻击。

　　此外，即使POS系统采用气隙网络(air-gap network)，攻击者只需要连接一个成本仅25美元的 Rasberry Pi，直播，黑客就能找到系统开放端口执行恶意命令，修改产品价格并上传新的 SAP POS Xpress Server 配置文件，并重新启动 POS 服务器。

　　好消息是，ERPScan在今年四月已向SAP展示研究报告，SAP方面也在Security Note 2476601 和SAP Security Note 2520064中修复。

　　不过，令人担心的是，SAP的POS系统被约80%的全球2000强零售商使用，这些漏洞的修补显然要花上一段时间。