Sicherheit von SAP in Bezug auf neue Technologien

Sicherheit von SAP in Bezug auf neue Technologien
Programmierrichtlinien für SAP
Die empfohlene Benutzung von Bibliotheksfunktionen ist gerade bei
SAP häufig der Fall, da viel Funktionalität schon bei SAP enthalten
ist und im Wesentlichen Anpassungen vorgenommen werden.
Nicht benötigte Funktionen in den Bausteinen, die angepasst oder
benutzt werden, sollten deaktiviert werden
Keine Bausteine erstellen oder verwenden, die einen direkten Zugriff
auf das Betriebssystem oder die Datenbank erlauben
Die Ein- bzw. Ausgabeprüfung sollte SAP übernehmen, leider ist
diese wie gezeigt nicht vollständig, so dass entweder sichergestellt
sein muss, dass eine andere Komponente wie eine
Webapplikationsfirewall die Prüfung übernimmt, oder die Prüfungen
von SAP ergänzt werden. Dies gilt auch für das Escapen von
Sonderzeichen
Bei Prüfung von Parametern, URLs etc. ist Whitelisting dem
Blacklisting vorzuziehen
Authorisierung, Authentifizierung sollte dem SAP-System überlassen
werden
Sensible Informationen sollten nicht auf dem Client gespeichert
werden, sowie sensible Aktionen nicht auf dem Client ausgeführt
werden. Anzumerken ist hier, dass bei Portalapplikationen sehr viel
Clientaktivität stattfindet, aber eine Analyse dennoch keine
Schwachstellen aufgedeckt hat und die von SAP gelieferte
Clientseitigen Skripte somit als sicher eingestuft werden können.
Fehlerseiten dürfen keine Applikationslogik preisgeben. Das SAP
System selbst gibt standardmäßig immer noch Versionsangaben mit
an, je nach Fehlermeldung auch detailliertere Informationen
SSL bevorzugt gegenüber Klartext einsetzen. Hierbei sollte auf eine
starke Verschlüsselung geachtet werden, da sonst die Sicherheit von
SSL ausgehebelt werden kann
Bei HTTP Methoden ist POST dem GET vorzuziehen, so werden
ebenfalls keine sensiblen Daten in Logs erfasst
Damian Schlager Seite 99