Безопасность систем ERP

Безопасность систем ERP затрагивает применение широкого ряда мер по защите систем ERP от неправомерного доступа к системе, а также обеспечения доступности и целостности данных системы. ERP-система — это компьютерная программа, предназначенная для объединения всей информации необходимой для эффективного управления компанией, включая такие аспекты деятельности как производство, управление цепочками поставок, бухгалтерский учёт, склады, перевозки, кадры, работа с клиентами. Наиболее популярными ERP-системами являются SAP, Oracle E-Business Suite, Microsoft Dynamics. Кроме этого, в России популярно 1С:Предприятие.

Обзор

Ядро каждой крупной компании — это ERP система; в ней проходят все критичные для бизнеса процессы, начиная от закупки, оплаты и доставки и заканчивая управлением человеческими ресурсами, продуктами и финансовым планированием. Вся информация, хранящаяся в ERP-системах, имеет важнейшее значение, и любой неправомерный доступ к ней может понести за собой громадные потери вплоть до остановки бизнеса.[1] Важно проводить комплексную оценку защищенности системы ERP, проверяя серверы ERP на наличие программных уязвимостей, ошибок конфигурации, конфликтов полномочий, соответствие актуальным стандартам и рекомендациям, включая рекомендации производителя.[1]

Причины уязвимости систем ERP

Сложность

Сложность систем ERP ведёт к возникновению уязвимостей безопасности. ERP системы обрабатывают большое число различных транзакций и реализуют сложные механизмы, которые предоставляют разные уровни доступа разным пользователям. Например, в SAP R/3 существуют сотни объектов авторизации, которые позволяют разным пользователям выполнять разные действия в системе. В организации среднего размера может существовать около ста видов транзакций, каждая транзакция обычно требует, по крайней мере, два объекта авторизации. Если в компании 200 пользователей, то существует приблизительно 800000 (100*2*20*200) способов настроить параметры безопасности ERP-системы. С ростом сложности увеличивается вероятность ошибок и конфликтов полномочий.[2]

Специфичность

В популярных ОС и приложениях ежемесячно находятся уязвимости, так как они находятся под постоянным прицелом хакеров. В результате популярные приложения становятся безопаснее. Внутренние бизнес-приложения закрыты для посторонних глаз, и это приводит к иллюзии «безопасно, так как засекречено». Из-за этого в специфичных бизнес-приложениях находят тривиальные и крайне опасные уязвимости в системе безопасности, которые редко встречаются в популярных продуктах.[3]

Недостаток квалифицированных специалистов

Большинство программ подготовки специалистов по системам ERP разработаны для обучения использованию возможностей системы и уделяют мало внимания безопасности и аудиту ERP.[2] В большинстве компаний понимание угроз систем ERP со стороны службы безопасности в лучшем случае поверхностно.[4] Многие компании не уделяют должного внимания безопасности ERP-системы. Консультанты по внедрению, как правило, озабочены лишь тем, чтобы развернуть систему в срок и уложиться в заданный бюджет. Вопросы безопасности считаются при этом второстепенными. Из-за этого защищённость системы оказывается слабой, а выявление и исправление проблем безопасности — сложным и дорогим мероприятием.[2]

Недостаток инструментов для аудита безопасности

Большинство инструментов, поставляемых в пакетах ERP, не предоставляют средств для эффективного аудита безопасности системы. Из-за этого аудит безопасности системы ERP обычно выполняется вручную. Ручной аудит является сложным и длительным процессом, в котором легко допустить ошибку.[2]

Большое количество тонких настроек

В стандартных настройках системы существуют тысячи параметров и тонких настроек, включая разграничение прав к различным объектам, таким как транзакции и таблицы. Во всей этой массе настроек задача по обеспечению безопасности даже одной системы является непростой задачей. Кроме того большая часть настроек системы ERP так или иначе затачивается под заказчика, в результате не существует двух одинаковых ERP систем. Кроме того, разрабатываются свои программы, безопасность которых также следует учитывать при комплексной оценке.[4] По этой причине трудно выработать единый подход или методологию для проведения аудитов безопасности.

Проблемы безопасности систем ERP

Проблемы безопасности в системе ERP могут возникать на разных уровнях.[5]

Сетевой уровень

Возможность перехвата и модификации трафика

  • отсутствие шифрования данных

В 2011 году специалисты из компании Sensepost проанализировали протокол DIAG, использующийся в системе SAP ERP для передачи данных между клиентом и сервером SAP. В результате была опубликованы две утилиты, позволяющие полностью перехватывать, дешифровывать и модифицировать на лету клиент-серверные запросы, содержащие критичную информацию, тем самым открывая пути для различных атак типа Человек посередине. Вторая утилита работает как Proxy и создана в большей степени для поиска новых уязвимостей, позволяя модифицировать запросы на клиент и сервер и искать новые уязвимости.[6][7]

  • передача пароля в открытом виде (SAP J2ee Telnet / Oracle listener старые версии)

В системе SAP ERP есть возможность администрирования по протоколу Telnet, который не шифрует пароли.[8]

Уязвимости протоколов шифрования или аутентификации

  • аутентификация хэшем
  • XOR шифрование паролей (SAP DIAG)
  • навязывание использование старых протоколов аутентификации
  • некорректные алгоритмы аутентификации

Уязвимости сетевых протоколов таких как протокол RFC в SAP ERP и Oracle Net в Oracle e-Business Suite. В SAP ERP для связи между двумя системами по TCP/IP используется протокол RFC (Remote Function Call). RFC-вызов — это функция, которая может вызвать и запустить на выполнение функциональный модуль, расположенный в другой системе. В языке ABAP, который используется для написания бизнес-приложений в SAP, существуют функции для совершения RFC-вызовов. В SAP RFC Library версий 6.x и 7.x было найдено несколько серьёзных уязвимостей[9]:

  • RFC функция «RFC_SET_REG_SERVER_PROPERTY» позволяет определять эксклюзивное использование RFC сервера. Эксплуатирование уязвимости приведет к отказу в доступе легитимным пользователям. Таким образом можно провести атаку отказ в обслуживании.
  • Ошибка в RFC функции «SYSTEM_CREATE_INSTANCE». Эксплуатирование уязвимости позволяет выполнить произвольный код.
  • Ошибка в RFC функции «RFC_START_GUI». Эксплуатирование уязвимости также позволяет выполнить произвольный код.
  • Ошибка в RFC функции «RFC_START_PROGRAM». Эксплуатирование уязвимости позволяет выполнить произвольный код или получить сведения о конфигурации RFC сервера.
  • Ошибка в RFC функции «TRUSTED_SYSTEM_SECURITY». Эксплуатирование уязвимости позволяет получить сведения о существующих пользователях и группах на RFC сервере.

Уровень ОС

Программные уязвимости ОС

  • Любая удаленная уязвимость в ОС может быть использована для получения доступа к приложениям

Слабые пароли ОС

  • возможность удаленного подбора паролей
  • пустые пароли на средства удаленного управления, таких как RAdmin и VNC

Небезопасные настройки ОС

  • NFS и SMB. Данные SAP могут быть доступны анонимному пользователю через NFS или SMB
  • Права доступа к файлам. Критичные файлы данных SAP и СУБД Oracle часто имеют небезопасные права доступа, такие как 755 или 777
  • Небезопасные настройки rhosts. В доверенных хостах могут быть прописаны серверы, на которые может легко попасть злоумышленник

Уязвимости СУБД[10]

Всякая система ERP содержит множество баз данных. Поэтому одной из проблем безопасности ERP являются программные уязвимости СУБД.

Переполнение буфера — атака, в основе которой лежит запись программой данных в память за пределами выделенного для них буфера. Это может позволить злоумышленнику загрузить и выполнить произвольный машинный код от имени программы и с правами учетной записи, от которой она выполняется.

format string — вид уязвимости, позволяющая выполнить вредоносный код. Проблема возникает из-за использования нефильтрованного пользовательского ввода в качестве строки формата в какой-нибудь C-функции, выполняющей форматирование, например, printf(). Злоумышленник может использовать спецификаторы формата %s или %n, чтобы записать произвольные данные в произвольную область памяти.

  • Пароли
    • множество паролей по умолчанию
    • возможность подбора паролей и пользователей (отсутствие блокирования по умолчанию)
  • Огромное количество возможностей повысить привилегии внутри СУБД
    • Высокие привилегии по умолчанию
    • PL/SQL инъекции

SQL-инъекции — один из распространённых способов взлома сайтов и программ, работающих с базами данных, основанный на внедрении в запрос произвольного SQL-кода. Внедрение SQL, в зависимости от типа используемой СУБД и условий внедрения, может дать возможность атакующему выполнить произвольный запрос к базе данных (например, прочитать содержимое любых таблиц, удалить, изменить или добавить данные), получить возможность чтения и/или записи локальных файлов и выполнения произвольных команд на атакуемом сервере. Атака типа внедрения SQL может быть возможна из-за некорректной обработки входных данных, используемых в SQL-запросах.

  • Cursor snarfing

Курсор применительно к SQL — это число, которое указывает на область памяти, где сервер базы данных хранит данные о запросе, переменных запроса и правах. В нормальной ситуации курсор создаётся и существует дор тех пор, пока не будет явно уничтожен. Если во время выполнения какой-либо SQL процедуры произошла ошибка, курсор может быть не уничтожен. Злоумышленник может воспользоваться этим куросорм, чтобы сделать запрос с правами этой неудачно завершившейся процедуры.[11]

Уязвимости приложений

ERP системы все больший и больший функционал переносят на уровень веб-приложений, на котором существует огромное количество уязвимостей:

  • Все возможные уязвимости веб-приложений (XSS, XSRF, SQL Injection, Response Splitting, Code Execution)
  • Переполнения буфера и format string в веб-серверах и application-серверах (к примеру, SAP IGS, SAP Netweaver, Oracle BEA Weblogic)
  • Небезопасные привилегии на доступ (SAP Netweaver, SAP CRM, Oracle E-Business Suite)

Управление доступом на основе ролей

В большинстве современных систем ERP для того, чтобы позволить пользователям выполнять только строго определённые транзакции и получать доступ лишь к определённым бизнес-объектам, применяется модель RBAC (Role-Based Access Control, управление доступом на основе ролей).[12] В модели RBAC решения о предоставлении доступа пользователю принимаются на основе функций, которые пользователь выполняет в организации. Эти функции называются ролями. Например, роли в банке это кассир, бухгалтер, кредитный инспектор и др. Роль можно понимать как множество транзакций, которые пользователь или группа пользователей могут совершать в организации. Транзакция — это некоторая процедура по преобразованию данных в системе, плюс данные, над которыми эту процедуру можно выполнять. Всякой роли соответствует множество пользователей, которые принадлежат этой роли. У пользователя может быть несколько ролей. Роли могут быть иерархическими, например, роль «кассир» также является ролью «сотрудник». Одним из достоинств модели RBAC является удобство администрирования. После того, как в системе заведены роли, транзакции, соответствующие каждой роли, меняются редко. Администратору нужно лишь добавлять или удалять пользователей из ролей. Когда сотрудник приходит в организацию, администратор даёт ему членство в одной или нескольких ролях. Когда сотрудник покидает организацию, администратор удаляет его из всех ролей, в которых тот состоял.[13]

Разделение полномочий

Разделение полномочий (Separation/Segregation of Duties, SoD) — концепция, состоящая в том, что пользователь не может совершить транзакцию без содействия других пользователей. Например, пользователь в одиночку не может добавить нового поставщика, выписать счёт или заплатить поставщику. Таким образом снижается риск ошибки или мошенничества.[14] Использование SoD является важным, хотя и недостаточным[3], условием безопасности системы ERP. Политику SoD можно реализовать, используя механизмы RBAC. Для этого вводится понятие взаимоисключающих ролей. Например, чтобы заплатить поставщику, один пользователь должен инициировать оплату, а другой подтвердить её. В этом случае инициация оплаты и подтверждение — взаимоисключающие роли. Разделение полномочий может быть статическим или динамическим. При статическом разделении полномочий (Static SOD) пользователь не может принадлежать двум взаимоисключающим ролям. При динамическом разделении полномочий (Dynamic SOD) пользователь может принадлежать двум взаимоисключающим ролям, но не может исполнять их в рамках одной транзакции. Достоинство SSOD — простота, DSOD — большая гибкость.[15] Обычно разделение полномочий описывается матрицей SoD. По осям X и Y матрицы отложены роли в системе. Если две роли являются взаимоисключающими, то на пересечении соответствующих столбца и строки выставляется флаг.

Сканеры безопасности систем ERP

Сканер безопасности систем ERP — это компьютерная программа, предназначенная для поиска уязвимостей в системах ERP. Сканер анализирует конфигурацию ERP-системы на наличие небезопасных параметров аутентификации, контроля доступа, шифрования, проверяет, установлены ли последние версии компонентов, ищет компоненты системы про которые известно, что они небезопасны. Кроме этого, сканер проверяет параметры системы на соответствие рекомендациям производителя и процедурам аудита ISACA. Результатом работы сканера безопасности является отчёт, в котором представлены обнаруженные уязвимости и степень критичности каждой из них.[1] Известные сканеры:

Примечания

  1. 1 2 3 http://www.dsec.ru/products/erpscan Архивная копия от 10 октября 2012 на Wayback Machine Digital security
  2. 1 2 3 4 Архивированная копия. Дата обращения: 21 ноября 2012. Архивировано 4 марта 2016 года. Security issues in ERP
  3. 1 2 http://www.dsec.ru/press_releases/pdf/business.pdf (недоступная ссылка)
  4. 1 2 Безопасность SAP в цифрах / Блог компании Digital Security / Хабрахабр. Дата обращения: 19 ноября 2012. Архивировано 19 октября 2012 года.
  5. http://dsec.ru/press_releases/infosec2009/infosec2009_polyakov_erp.pdf (недоступная ссылка) Безопасность ERP
  6. Digital Security предупреждает о новых угрозах протокола DIAG в SAP — ERPScan сканер безопасности SAP. Дата обращения: 11 ноября 2012. Архивировано из оригинала 16 апреля 2013 года.
  7. SensePost — SapCap Архивировано 29 октября 2012 года.
  8. Administering the SAP J2EE Engine Using Telnet (SAP Library — SAP NetWeaver Technical Operations Manual)
  9. Xakep Online > Множественные уязвимости в SAP RFC Library (недоступная ссылка)
  10. Александр Поляков(2009). Безопасность Oracle глазами аудитора. Нападение и защита. ДМК Пресс. ISBN 978-5-94074-517-4
  11. Архивированная копия. Дата обращения: 21 ноября 2012. Архивировано 19 июня 2012 года. Cursor snarfing
  12. Архивированная копия. Дата обращения: 22 ноября 2012. Архивировано 11 июня 2014 года.
  13. http://csrc.nist.gov/rbac/ferraiolo-kuhn-92.pdf Архивная копия от 18 октября 2011 на Wayback Machine Role-Based Access Controls
  14. ComplianceTutorial.com — How to build segregation of duties Архивировано 11 января 2013 года.
  15. Simple search. Дата обращения: 22 ноября 2012. Архивировано из оригинала 26 февраля 2015 года.

Read other articles:

La primera página del proyecto de ley, tal como fue presentada ante el la Cámara de Diputados en 1905. La ley de separación de la Iglesia y el Estado (en francés: Loi du 9 décembre 1905 concemant la séparation des Églises et de l’État) se debatió en la Cámara de Diputados de Francia del 21 de marzo al 3 de julio, y en el Senado del 9 de noviembre al 6 de diciembre de 1905, sancionada por el Presidente de la República el 9 de diciembre, fue publicada en el diario oficial el 11 de ...

 

Cracticinae Cracticus nigrogularis Klasifikasi ilmiah Kerajaan: Animalia Filum: Chordata Kelas: Aves Ordo: Passeriformes Subordo: Passeri Superfamili: Malaconotoidea Famili: Artamidae Subfamili: CracticinaeChenu & des Murs, 1853 Cracticinae adalah subfamilia burung dari familia Artamidae. Kelompok ini meliputi 12 spesies burung yang berasal dari Australasia dan wilayah sekitarnya.[1][2][3] Genus dan Spesies Terdapat 3 genus di dalam subfamilia Cracticinae: Genus P...

 

Iru SahodarargalPoster rilis teatrikalNama lainTamilஇரு சகோதரர்கள் SutradaraEllis R. DunganProduserParameshwar Sound PicturesDitulis olehS. D. S. YogiPemeranK. P. KesavanM. M. RadhabaiM. G. RamachandranT. S. KrishnaveniT. S. BalaiyaP. G. VenkatesanPenata musikAnantharaman GopalaswamiTanggal rilis1936BahasaTamil Iru Sahodarargal (juga disebut sebagai Iru Sakodarargal) adalah sebuah film drama berbahasa Tamil tahun 1936 garapan Ellis R. Dungan. Film tersebu...

نيكولاس أمير اليونان والدنمارك معلومات شخصية الميلاد 22 يناير 1872(1872-01-22)أثينا الوفاة 8 فبراير 1938 (66 سنة)أثينا مواطنة اليونان  عضو في اللجنة الأولمبية اليونانية  الزوجة دوقة روسيا الكبرى إيلينا فلاديميروفنا (29 أغسطس 1902–1938)  الأولاد أولغا أميرة اليونان والدنماركإليزا...

 

American politician (born 1953) Chris SmithMember of the U.S. House of Representativesfrom New Jersey's 4th districtIncumbentAssumed office January 3, 1981Preceded byFrank ThompsonChair of the House Veterans' Affairs CommitteeIn officeJanuary 4, 2001 – January 3, 2005Preceded byBob StumpSucceeded bySteve Buyer Personal detailsBornChristopher Henry Smith (1953-03-04) March 4, 1953 (age 71)Rahway, New Jersey, U.S.Political partyRepublican (1978–present)Other po...

 

Artikel ini berisi tentang novel. Untuk film, lihat The Hunger Games: Mockingjay - Part 1 dan The Hunger Games: Mockingjay - Part 2 Mockingjay PengarangSuzanne CollinsPenerjemahHetih RusliNegaraAmerika SerikatBahasaInggris (Original)GenreFiksi ilmiah Fiksi remaja PetualanganDistopiaAksiPenerbitScholastic (AS) Gramedia Pustaka Utama (Indonesia)Tanggal terbit24 Agustus 2010 (AS), Januari 2012 (Indonesia)Halaman390 (AS), 432 (Indonesia)Didahului olehCatching Fire  Mockingjay adala...

British tennis player Luke JohnsonJohnson at the 2022 Internationaux de Tennis de VendéeCountry (sports) United KingdomResidenceLeeds, United KingdomBorn (1994-03-18) 18 March 1994 (age 30)Leeds, United KingdomHeight1.83 m (6 ft 0 in)PlaysRight-handed (two-handed backhand)CoachDave Sammel / Ian McDonaldPrize money$142,388SinglesCareer record0–0 (at ATP Tour level, Grand Slam level, and in Davis Cup)Career titles0 0 Challenger, 0 FuturesHighest r...

 

Region of Accomack and Northampton counties, Virginia, United States For the Virginia wine region, see Virginia's Eastern Shore AVA. Eastern Shore of Virginia Bloxom depot, Cape Charles, Virginia The Eastern Shore of Virginia is the easternmost region of the Commonwealth of Virginia in the United States. It consists of two counties (Accomack and Northampton) on the Atlantic coast. It is detached from the mainland of Virginia by the Chesapeake Bay. The 70-mile-long (110 km) region is part...

 

This article relies largely or entirely on a single source. Relevant discussion may be found on the talk page. Please help improve this article by introducing citations to additional sources.Find sources: Heller myotomy – news · newspapers · books · scholar · JSTOR (April 2015) Heller myotomySpecialtygastroenterology[edit on Wikidata] Heller myotomy is a surgical procedure[1] in which the muscles of the cardia (lower esophageal sphincter or...

Team Halfords BikehutTeam informationUCI codeHBHRegisteredUnited KingdomFounded2008 (2008)Disbanded2009Discipline(s)Road with also riders active on the trackStatusUCI Women's TeamBicyclesBoardman Bike[1]Key personnelGeneral managerDave Brailsford 2008 Team Halfords BikehutUCI Team ranking10thSeason victoriesOne-day racesRoad: 4Track: 3Stage race overall0Stage race stages2Best ranked riderNicole Cooke (4th) Team Halfords Bikehut was a 2008 UCI elite ...

 

Artikel ini sebatang kara, artinya tidak ada artikel lain yang memiliki pranala balik ke halaman ini.Bantulah menambah pranala ke artikel ini dari artikel yang berhubungan atau coba peralatan pencari pranala.Tag ini diberikan pada Januari 2023. Artikel ini tidak memiliki referensi atau sumber tepercaya sehingga isinya tidak bisa dipastikan. Tolong bantu perbaiki artikel ini dengan menambahkan referensi yang layak. Tulisan tanpa sumber dapat dipertanyakan dan dihapus sewaktu-waktu.Cari sumber:...

 

This article needs additional citations for verification. Please help improve this article by adding citations to reliable sources. Unsourced material may be challenged and removed.Find sources: Wellington West Coast and Taranaki Regiment – news · newspapers · books · scholar · JSTOR (March 2022) (Learn how and when to remove this message) Wellington West Coast and Taranaki RegimentActive1948–2012Country New ZealandBranch New Zealand ArmyTypeInf...

Highway in northeastern Illinois This article needs additional citations for verification. Please help improve this article by adding citations to reliable sources. Unsourced material may be challenged and removed.Find sources: Illinois Route 390 – news · newspapers · books · scholar · JSTOR (October 2023) (Learn how and when to remove this message) Illinois Route 390 TollElgin–O'Hare TollwayIL 390 highlighted in redRoute informationMaintained by IST...

 

Сельское поселение России (МО 2-го уровня)Новотитаровское сельское поселение Флаг[d] Герб 45°14′09″ с. ш. 38°58′16″ в. д.HGЯO Страна  Россия Субъект РФ Краснодарский край Район Динской Включает 4 населённых пункта Адм. центр Новотитаровская Глава сельского пос�...

 

Wusun et leurs voisins lors de la fin du IIe siècle av. J.-C. Les Wūsūn (chinois : 烏孫 ; litt. « Petits-enfants du corbeau ») était un peuple nomade ou semi-nomade qui aurait habité à l'ouest de l'actuelle province du Gansu, entre les Monts Qilian et Dunhuang, au nord de la Chine. Ils étaient des voisins du peuple Yuezhi, situés notamment dans le corridor du Hexi. Histoire Après avoir été défaits par les Xiongnu aux environs de l'an 276 av. J...

Americans of Pakistani birth or descent Ethnic group Pakistani Americansپاکستانی امریکیAmerican-Pakistanis by state according to the U.S. Census Bureau's American Community Survey (2015 - 2019)Total population629,946U.S. estimate, 2021, self-reported[1]0.187% of the U.S. population, 2.50% of Asian AmericansRegions with significant populationsNew York City Metropolitan Area, New Jersey, Baltimore-Washington Metropolitan Area, Philadelphia metropolitan area, Chicago Metrop...

 

1989 single by Prince and The RevolutionErotic CityGerman CD singleSingle by Prince and The RevolutionB-sideI Would Die 4 U (Extended Version)Released1989RecordedMarch 25–April 4, 1984[1]StudioSunset Sound, Hollywood, CaliforniaGenre R&B synth-funk Length 3:55 (original version) 7:24 (dance mix) Label Paisley Park Warner Bros. Records Songwriter(s)PrinceProducer(s)PrincePrince and The Revolution singles chronology I Wish U Heaven (1988) Erotic City (1989) Batdance (1989) Erotic ...

 

Disambiguazione – Se stai cercando altri significati, vedi Antinoo (disambigua). Ritratto di Antinoo detto di Ecouen, scoperto nel XVIII secolo nella villa Adriana a Tivoli, oggi al Museo del Louvre di Parigi Antinoo (in greco antico Ἀντίνοος Antínoos, in latino Antinous; Claudiopoli, 27 novembre 110 o 111 – Egitto, 30 ottobre 130 o poco prima[1]) è stato un giovane greco originario della Bitinia, noto per la relazione sentimentale e amorosa avuta con l'imperatore roma...

Disambiguazione – Se stai cercando altri significati, vedi Giordano Bruno (disambigua). Ritratto di Giordano Bruno, pubblicato la prima volta nel 1824,[1] basato su un presunto ritratto a incisione, anonimo, del 1715[2], secondo alcuni riproduzione, a sua volta, di un ritratto realizzato durante la sua vita (ca. 1578), oggi andato perduto[3][4] Giordano Bruno, alla nascita Filippo Bruno (Nola, 1548 – Roma, 17 febbraio 1600), è stato un filosofo, scrittore...

 

Kongres Amerika Serikat ke-4Congress Hall (2007)Periode4 Maret 1795 – 4 Maret 1797Anggota30-32 (dua tambahan) (0-4 kosong) senator106-107 (satu tambahan) (0-8 kosong) anggota dewan1 delegasi tanpa suaraMayoritas SenatFederalisPresiden SenatJohn AdamsMayoritas DPRDemokrat-RepublikKetua DPRJonathan DaytonPres. Senat Pro TemporeHenry TazewellSamuel LivermoreWilliam BinghamSesiIstimewa: 8 Juni 1795 – 26 Juni 1795ke-1: 7 Desember 1795 – 1 Juni 1796ke-2: 5 Desember 1796 – 3 Maret 1797k...