Sicherheit von SAP in Bezug auf neue Technologien
Sicherheit von SAP in Bezug auf neue Technologien
Sicherheit von SAP in Bezug auf neue Technologien
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>Sicherheit</strong> <strong>von</strong> <strong>SAP</strong> <strong>in</strong> <strong>Bezug</strong> <strong>auf</strong> <strong>neue</strong> <strong>Technologien</strong><br />
2.3.3 Fehlerquellen <strong>in</strong> Webapplikationen<br />
Es gibt e<strong>in</strong>ige Grundsätze, die beim Programmieren <strong>von</strong> Webapplikationen<br />
beachtet werden sollten. Die meisten der hier erwähnten Punkte lassen sich<br />
auch <strong>auf</strong> andere Arten <strong>von</strong> Applikationen anwenden, sie treten jedoch bei<br />
Webapplikationen besonders deutlich <strong>in</strong> Ersche<strong>in</strong>ung. Spezifische<br />
Programmierrichtl<strong>in</strong>ien für Webapplikationen s<strong>in</strong>d <strong>in</strong> Kapitel 4.3 und 4.4<br />
beschrieben, dieses Kapitel beschränkt sich <strong>auf</strong> allgeme<strong>in</strong>e Grundsätze, die<br />
für das Verständnis <strong>von</strong> Webapplikationssicherheit wichtig s<strong>in</strong>d und deren<br />
Unkenntnis oder Nichtbeachtung zu e<strong>in</strong>em großen Teil der Probleme führen.<br />
Diese Punkte wurden hauptsächlich <strong>auf</strong> Basis der praktischen Arbeit des<br />
Verfassers erstellt.<br />
Fehlende E<strong>in</strong>gabevalidierung<br />
E<strong>in</strong> Großteil der Webapplikationsangriffe basiert <strong>auf</strong> dem Fehlen oder e<strong>in</strong>er<br />
nicht korrekt durchgeführten E<strong>in</strong>gabevalidierung. Bei e<strong>in</strong>er<br />
E<strong>in</strong>gabevalidierung müssen grundsätzlich alle Daten die vom Client<br />
kommen geprüft werden, da sie gefälscht oder verändert se<strong>in</strong> können.<br />
Behandlung unterschiedlicher Codierungen<br />
E<strong>in</strong>e ungewöhnliche Codierung kann e<strong>in</strong>e Rolle bei der<br />
Webapplikationssicherheit spielen und muss bei der E<strong>in</strong>gabevalidierung<br />
beachtet werden. Es gibt e<strong>in</strong>e Vielzahl <strong>von</strong> Codierungsmöglichkeiten, die<br />
alle erkannt werden und <strong>in</strong> korrekter bzw. normalisierter Form an e<strong>in</strong>e<br />
Prüfrout<strong>in</strong>e übergeben werden müssen. Nur so kann e<strong>in</strong>e Prüfung auch<br />
angewendet werden.<br />
Clientseitiger Code<br />
In e<strong>in</strong>igen seltenen Fällen wird bei klassischen Webapplikationen e<strong>in</strong>e<br />
E<strong>in</strong>gabevalidierung mittels Code <strong>auf</strong> dem Client durchgeführt. Da sich<br />
dieser jedoch wie alle Daten <strong>auf</strong> dem Client auch unter Kontrolle des Clients<br />
bef<strong>in</strong>det, können Prüfungen <strong>in</strong> diesem Fall als wirkungslos angesehen<br />
werden. Grundsätzlich muss jeglicher Code <strong>auf</strong> dem Client als nicht<br />
vertrauenswürdig angesehen werden und <strong>auf</strong> dem Client niemals<br />
sicherheitsrelevante Rout<strong>in</strong>en verwendet werden.<br />
Schwache Sitzungsverwaltung<br />
Da Webapplikationen wie andere Applikationen auch Sitzungsgebunden<br />
s<strong>in</strong>d, HTTP aber ke<strong>in</strong>e Sitzungsverwaltung bietet, muss diese <strong>auf</strong><br />
Damian Schlager Seite 21
Change language