Sicherheit von SAP in Bezug auf neue Technologien

Weitere Magazine

Empfehlungen

Info

Sicherheit von SAP in Bezug auf neue Technologien Veränderungen der Antworten der Applikation, z.B. allgemein gehaltene Fehlerseiten, erarbeiten um die Lücke auch tatsächlich ausnutzen zu können und um die Befehle einzuschleußen. Weitgehend unbekannt ist die Tatsache, dass SQL-Injection nicht nur über die Manipulation von Benutzereingaben für Parameter möglich ist. Es sind grundsätzlich alle Daten betroffen, die für einen SQL-Befehl verwendet werden, auch z.B. HTTP Header. Verhindern lässt sich SQL-Injection hingegen sehr einfach durch die Verwendung von prepared Statements. Command-Injection Die Ursache für Command-Injection ist der für SQL-Injection recht ähnlich. Hier ist die Benutzereingabe aber nicht Teil eines SQL-Befehls, sondern eines Kommandos, z.B. ein Kommando des darunter liegenden Betriebssystems. Wie bei SQL-Injection geschieht dies durch Verändern oder Erweitern der erwarteten Benutzereingabe. Ist z.B. die Eingabe einer Pipe ( | ) bei einer Perl-basierter Applikation erlaubt, kann dies dazu führen, dass die beabsichtigte Eingabe so verändert wird, dass ein Angreifer die Eingabe um eigene Befehle erweitern kann 17 : Beabsichtigt: ..../show.pl?format=default Angriff: .../show.pl?format=/bin/ls| Bei php ist folgende Variante denkbar: Beabsichtigt: …/diskusage.php?directory=~/ Angriff: …/diskusage.php?directory=;cat etc/passwd Hierdurch wird ein Angreifer in die Lage versetzt, alle Befehle auf z.B. Betriebssystemebene auszuführen, die auch die Applikation aufrufen kann, inklusive derer Berechtigung auf dem Betriebssystem. File Execution/Include Ursächlich für File-Execution bzw. File-Include ist die Möglichkeit eines Benutzers, Dateinamen anzugeben oder Dateien hochzuladen, die danach aufgerufen werden können. Dies führt zur Ausführung von benutzerdefinierten Dateien, dies es unter Umständen erlauben, die Fähigkeiten des Applikation im Sinne des Angreifers zu erweitern. Es sind auch hier verschiedene Varianten möglich 17 http://www.webappsec.org/projects/threat/classes/os_commanding.shtml Damian Schlager Seite 26
Sicherheit von SAP in Bezug auf neue Technologien Einbinden von Includes auf dem Server Einbinden von Includes von anderen Orten Hochladen von Dateien gefolgt von deren Ausführung Logikfehler Ein wichtiger Punkt bei der Überprüfung von Webapplikationen ist die Prüfung auf Fehler in der Anwendungslogik. Dieser Schritt erfordert viel Zeit und ist auch nahezu unmöglich zu automatisieren. Ursachen und Ziele von Logikfehlern bzw. deren Ausnutzung sind äußerst vielfältig, ebenso der potentielle Schaden. Es ist häufig verbunden mit den zuvor genannten Angriffen und geht üblicherweise über verschiedene Parametermanipulationen. Daten von 2006: Ergänzend ist in Abbildung 4: Verteilung der Angriffshäufigkeit eine Statistic über die Häufigkeit von verschiedenen Webapplikationsangriffen dargestellt 18 . Diese Diplomarbeit folgt nicht der in dieser Grafik vorgenommenen Unterteilung, da z.B. Path-Traversal zumeist auf falsche Konfiguration zurückzuführen ist, jedoch ist hier der überragende Anteil an Cross-Site-Scripting erkennbar, gefolgt von SQL-Injection. Abbildung 4: Verteilung der Angriffshäufigkeit 18 http://www.webappsec.org/projects/statistics/ Damian Schlager Seite 27
Seite 1: Diplomarbeit in Computer Networking
Seite 4 und 5: Sicherheit von SAP in Bezug auf neu
Seite 82 und 83:
Sicherheit von SAP in Bezug auf neu
Seite 84 und 85:
Seite 86 und 87:
Seite 88 und 89:
Seite 90 und 91:
Seite 92 und 93:
Seite 94 und 95:
Seite 96 und 97:
Seite 98 und 99:
Seite 100 und 101:
Seite 102 und 103:
Seite 104 und 105:
Seite 106 und 107:
Seite 108:
Alle anzeigen

Sicherheit von SAP in Bezug auf neue Technologien

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?