Sicherheit von SAP in Bezug auf neue Technologien

Weitere Magazine

Empfehlungen

Info

Sicherheit von SAP in Bezug auf neue Technologien Applikationsebene implementiert werden. Es ist unabdingbar, dass eine Sitzungsverwaltung sorgfältig implementiert werden muss, so dass eine Sitzung beispielsweise nicht veränderbar oder vorhersagbar ist. Ausgabevalidierung Unter den Punkt Ausgabevalidierung fällt vor allem der Bereich der Fehlermeldungen. Im Gegensatz zu der Eingabevalidierung soll hier aber dafür gesorgt werden, dass keine Daten zum Client gelangen, die dort nicht benötigt werden. Gerade Fehlermeldungen verraten häufig Systeminternas, wie z.B. eingesetzte Produkte, deren Version oder Teile der Programmlogik, in manchen Fällen sogar Debugausgaben. All dies sind wertvolle Informationen für einen Angreifer, die er für weitere Schritte verwenden kann. Daher sollten Fehlermeldungen grundsätzlich nur über das Auftreten eines Fehlers informieren, aber keine Systemrelevanten Daten herausgeben. Darüber hinaus hilft eine sorgfältige Ausgabevalidierung auch die Durchführung von Angriffen zu verhindern. Ein Beispiel hierfür ist Cross-Site-Scripting, das zwar Häufig von der Eingabevalidierung abgefangen wird, aber grundsätzlich eher als Problem der Ausgabeseite angesehen werden muss, da bei Cross-Site-Scripting die Fähigkeit des Browsers ausgenutzt wird, Code auszuführen, der sich nicht an dieser Stelle in ausführbarer Form in der Antwort des Webservers befinden sollte. Kommentare/Testprogramme/Backups Kommentare, Testprogramme und Backups sind alles Informationsquellen für einen Angreifer, oder im schlimmsten Fall sogar einfache Zugänge zu einem System. Doch selbst als reine Informationsquellen können sie bei weiteren Schritten hilfreich sein. Besonders interessant und auch in der Realität zu finden sind dort Informationen über die Programmlogik oder auch kritische Informationen wie z.B. Connection-Strings zum Backend. Unzureichende Konfiguration der Komponenten Auch eine unzureichende Konfiguration der Komponenten ist ein zentraler Punkt, der häufig vernachlässigt wird. Es werden zusätzliche Angriffspunkte geschaffen, wenn z.B. die Defaultkonfiguration von Komponenten verwendet wird oder die Konfigurationseinstellungen aus einem Testsystem, das üblicherweise weniger gesichert wird als ein Produktivsystem. Hierbei spielt auch wieder die knappe Zeit eine Rolle, infolge dessen oft die sorgfältige Konfiguration sicherheitsrelevanter Damian Schlager Seite 22
Sicherheit von SAP in Bezug auf neue Technologien Einstellungen vernachlässigt wird. Ebenso ist eine mögliche mangelnde Fachkenntnis in diesem Bereich eine Ursache für eine unzureichende und damit unnötig unsichere Konfiguration. 2.3.4 Beschreibung der Webapplikationsangriffe Im Folgenden werden einige der wichtigsten Angriffsklassen und Methoden kurz erläutert und in einigen Fällen mit exemplarischen Beispielen verdeutlicht. Die konkrete Ausgestaltung dieser Methoden kann von Fall zu Fall variieren, da Webapplikationen grundsätzlich Unikate sind und die Angriffe den Gegebenheiten angepasst werden müssen. Diese Liste ist nicht vollständig und soll nur einige der wesentlichen Methoden näher bringen. Cross-Site-Scripting Cross-Site-Scripting ist eine der bekanntesten Attacken, gleichzeitig ist es wohl die Methode, die trotz des sehr hohen Bekanntheitsgrades am wenigsten verstanden wurde. Entgegen der gängigen Annahme ist Cross- Site-Scripting kein Angriff auf die Applikation, den Server oder ähnliches und ist somit kein Angriff, der die Sicherheit des Servers direkt beeinflusst. Im Gegensatz zu den anderen Angriffsmethoden kennt Cross-Site-Scripting 3 Beteiligte. Angreifer Server Opfer Der Server ist also, wie zu sehen, nicht das Opfer, sondern ein Vermittler des Angriffes. Der Ablauf eines Cross-Site-Scripting Angriffs beginnt immer gleich. Das Opfer, ein Benutzer der verwundbaren Applikation, muss zunächst dazu gebracht werden einen präparierten Link zu benutzen. Dies muss in den meisten Fällen, aber nicht notwendigerweise, aktiv geschehen. Das heißt, das Opfer klickt beispielsweise auf den präparierten Link der sich in einer Email befindet. Der Link verweist dann auf eine Applikation, die für Cross-Site-Scripting verwundbar ist. Bei dieser Applikation darf und soll es sich sogar um eine für das Opfer vertrauenswürdigen Applikation handeln, da sich der Schadcode innerhalb des Links, in seltenen Fällen dann auf der Seite selbst, auf eine vermeintlich vertrauenswürdigen Seite befindet. Bei der für das Opfer vertrauenswürdigen Applikation kann es dann beispielsweise einen für Cross-Site-Scripting verwundbaren Parameter Damian Schlager Seite 23
Seite 1: Diplomarbeit in Computer Networking
Seite 4 und 5: Sicherheit von SAP in Bezug auf neu
Seite 78 und 79:
Sicherheit von SAP in Bezug auf neu
Seite 80 und 81:
Seite 82 und 83:
Seite 84 und 85:
Seite 86 und 87:
Seite 88 und 89:
Seite 90 und 91:
Seite 92 und 93:
Seite 94 und 95:
Seite 96 und 97:
Seite 98 und 99:
Seite 100 und 101:
Seite 102 und 103:
Seite 104 und 105:
Seite 106 und 107:
Seite 108:
Alle anzeigen

Sicherheit von SAP in Bezug auf neue Technologien

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?