Sicherheit von SAP in Bezug auf neue Technologien

Weitere Magazine

Empfehlungen

Info

Sicherheit von SAP in Bezug auf neue Technologien Logindaten werden unverschlüsselt übertragen: Durch die Verwendung von HTTP als Protokoll und nicht etwa mit SSL verschlüsseltes HTTP werden die Logindaten nicht verschlüsselt übertragen. Solche Daten sollten grundsätzlich besser über HTTPS gesendet werden. Remote-File-Inclusion: Bei einer Remote-File-Inclusion kann ein Angreifer, wie in Kapitel 2.3.4 beschrieben, einen Code auf der Webseite zur Ausführung bringen. So kann beispielsweise eine sogenannte Web-bzw. Php-Shell genutzt werden, die weitgehende Möglichkeiten auf dem Zielserver erlaubt. Local-File-Inclusion: Die gefundene Local-File-Inclusion basiert bei der cirobank auf demselben verwundbaren Parameter wie die Remote-File-Inclusion. Der Unterschied bei der Local-File-Inclusion ist, dass hier Dateien eingebunden werden, die sich lokal auf dem Webserver befinden. Dass dies nicht PHP-Dateien sein müssen, zeigt schon dieses Beispiel. Hier ist es verbunden mit den weitgehenden Leserechten des Webservers möglich, sich Dateien auf dem Server, die nicht öffentlich verfügbar sein sollten, anzeigen zu lassen. Auf dem Screenshot: Abbildung 8: Local-file-inclusion ist die Einbindung der Unix-passwd Datei zu sehen. Sehr bemerkenswert ist hier die Fähigkeit des Scanners, Angriffe zu kombinieren. So ist es bei cirobank nicht auf direkte Art möglich, die erwähnte /etc/passwd anzuzeigen, da ein Anzeigen von nicht html-, phpoder Bilddateien verboten wurde. Jedoch ist es möglich, die Applikation zu täuschen indem ein NULL-Byte (%00) and den Dateinamen angehängt wird, gefolgt von einem .html. Somit ist die angeforderte Ressource für die Webapplikation eine HTML-Datei, also erlaubt zum anzeigen, die tatsächlich gelesene Datei ist aber nicht /etc/passwd.html sonder die existierende /etc/passwd (siehe Abbildung 8: Local-file-inclusion). Diese Anfrage alleine ist schon komplex und kombiniert verschiedene Schwachstellen, die in Webapplikationen auftreten können und zusammen, so wie hier, zu einem realen Angriff werden. Dies zeigt, wie weit entwickelt die automatisierten Scanner in Bezug auf das Auditieren von Webapplikationen bereits sind. Damian Schlager Seite 34
Sicherheit von SAP in Bezug auf neue Technologien Abbildung 8: Local-file-inclusion Die weiteren Ergebnisse des automatisierten Audits waren bis auf zwei Ausnahmen, die der Scanner korrekt erkannt hat, sehr schnell als False Positives erkennbar. Standardverzeichnisse: Der Scanner überprüft viele Verzeichnisse, die sich häufig Webapplikationen finden, darunter auch admin/. Dieses Ergebnis ist zusammen mit der gefundenen robots.txt in diesem Fall redundant. PHP Fehlermeldungen: Das automatisierte Audit erzeugte viele PHP Fehlermeldungen die zeigen, welche Zeichen bei einer Eingabe erlaubt sind und die auch Teile der internen Verzeichnisstruktur offenbarten. Insgesamt hat sich gezeigt, dass das automatisierte Audit sehr gut funktioniert hat. Manuell Auch die manuelle Überprüfung zeigte einige der von dem automatisierten Audit gefundenen Schwachstellen. Diese Schwachstellen soll die manuelle Überprüfung nochmals verifizieren und vor Allem auch erweitern und als Basis für weitere Schritte benützen. Damian Schlager Seite 35
Seite 1: Diplomarbeit in Computer Networking
Seite 4 und 5: Sicherheit von SAP in Bezug auf neu
Seite 90 und 91:
Sicherheit von SAP in Bezug auf neu
Seite 92 und 93:
Seite 94 und 95:
Seite 96 und 97:
Seite 98 und 99:
Seite 100 und 101:
Seite 102 und 103:
Seite 104 und 105:
Seite 106 und 107:
Seite 108:
Alle anzeigen

Sicherheit von SAP in Bezug auf neue Technologien

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?