Sicherheit von SAP in Bezug auf neue Technologien

Weitere Magazine

Empfehlungen

Info

Sicherheit von SAP in Bezug auf neue Technologien geben, der dann mit Werten wie document.location .replace('http://hackers.server/stealcookie.cgi?'+document.cook ie); aufgerufen wird. Wie in diesem Beispiel ersichtlich erhält der Angreifer die Cookies des Opfers, unter denen sich auch eines befinden kann, das eine gültige Sitzung auf der verwundbaren Applikation darstellt. Der Angreifer könnte nun also, obwohl er selbst keine oder andere Berechtigungen in der Applikation hat, in der Identität des Opfers arbeiten. Der Angriff, in diesem Fall der Wert des Parameters, muss jedoch nicht immer so eindeutig sein. Es gibt eine Vielzahl an Variationen um z.B. eine Ein- bzw. Ausgabeprüfung zu umgehen. Das folgende Beispiel würde bei einer Verwundbaren Applikation eine Alertbox mit XSS als Text erzeugen 15 : '';!--"=&{()} Wie zuvor schon angedeutet, unterscheidet man bei Cross-Site-Scripting zwischen 2 Arten: nicht persistent persistent Nicht persistentes Cross-Site-Scripting verhält sich wie in dem Beispiel zuvor beschrieben. Es ist grundsätzlich nur für eine Sitzung gültig und das Opfer muss den initial gesendeten bzw. verwendeten Link aktivieren. Bei einem persistenten Cross-Site-Scripting wird der Link in einem System gespeichert, so dass dieser den Opfern nicht gesordert gesendet werden muss. Dadurch trifft der Angriff jeden, der die Daten und damit das Skript abruft. Denkbar ist dies z.B. in einem Forum, dessen Mitgliederbeschreibung für Cross-Site-Scripting anfällig ist und somit jeder, der die Mitgliederbeschreibung abruft, von der Attacke betroffen ist, ohne dass von den Opfern eine weitere Aktion notwendig ist 16 . Eine anschauliche Demonstration, was mit Cross-Site-Scripting möglich ist, findet sich auf www.bindshell.net/beef/. 15 http://ha.ckers.org/xss.html 16 http://www.heise.de/newsticker/meldung/100976 Damian Schlager Seite 24
Sicherheit von SAP in Bezug auf neue Technologien Cross-Site-Scripting findet üblicherweise über JavaScript statt, grundsätzlich ist aber jeder vom Browser ausgefürhrte Code geeignet. SQL-Injection SQL-Injection gehört zu einer der potentiell gefährlichsten Attacken, da hierdurch unternehmenskritische oder sonstige wichtigen Daten offen liegen können, wie z.B. Kreditkartennummern von Kunden. Weniger bekannt aber ähnlich gefährlich ist, dass viele Datenbankmanagementsysteme Schnittstellen für Betriebssystemkommandos bereitstellen, wie xp_cmdshell des MS SQL Servers, der in der Vergangenheit standardmäßig mit administrativen Rechten auf dem Betriebssystem lief. Ursache für SQL-Injection ist häufig, dass Benutzereingaben Teil eines SQL- Befehls an das Backend sind. Die Webapplikation wirkt hierbei also als Interface für SQL-Befehle. Das Gefährliche ist, dass hier die Möglichkeiten der Eingabe über das vom Programmierer Erwartete hinausgehen. Erwartet wird für gewöhnlich eine Benutzereingabe, die im späteren SQL-Befehl einen Parameterwert oder einen Teil dessen darstellt, z.B. ein Benutzername. Es ist aber möglich, die erwartete Eingabe zu verändern oder zu erweitern, so dass anstatt des Parameterwertes, der eigentlich erwartet wurde, ein Teil eines SQL-Befehls entsteht, der den ursprünglichen SQL-Befehl verändert, oder aber auch ein neuer SQL-Befehl bzw. eine Verkettung von SQL-Befehlen. Ein oft beschrittener Weg bei einer gefundenen SQL-Injection Schwachstelle ist es, zunächst die Systemtabellen auszulesen. Da ein relationales Datenbanksystem alle Informationen auch über sich selbst auch in seinen Tabellen speichern muss, können hier alle gewünschten Informationen über die Datenbank ausgelesen werden, die Möglichkeit der Eingabe der entsprechenden Befehle und die notwendigen Rechte vorausgesetzt. Danach können die gewünschten Informationen wie z.B. Kreditkartennummern gezielt abgefragt werden oder andere gewünschte Aktionen wie das gezielte Verändern von Datenbankeinträgen durchgefürt werden. Auch bei SQL-Injection gibt es eine weitere Variante, die Blind-SQL- Injection. Während man bei einer gewöhnlichen SQL-Injection den Aufbau des vom System verwendeten SQL-Befehls anhand von Fehlermeldungen erkennen kann, ist dies bei Blind-SQL-Injection nicht möglich. Ein Angreifer muss sich daher den korrekten Aufbau des SQL-Befehls anhand von Damian Schlager Seite 25
Seite 1: Diplomarbeit in Computer Networking
Seite 4 und 5: Sicherheit von SAP in Bezug auf neu
Seite 80 und 81:
Sicherheit von SAP in Bezug auf neu
Seite 82 und 83:
Seite 84 und 85:
Seite 86 und 87:
Seite 88 und 89:
Seite 90 und 91:
Seite 92 und 93:
Seite 94 und 95:
Seite 96 und 97:
Seite 98 und 99:
Seite 100 und 101:
Seite 102 und 103:
Seite 104 und 105:
Seite 106 und 107:
Seite 108:
Alle anzeigen

Sicherheit von SAP in Bezug auf neue Technologien

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?