Sicherheit von SAP in Bezug auf neue Technologien

Weitere Magazine

Empfehlungen

Info

Sicherheit von SAP in Bezug auf neue Technologien Hierbei hat sich gezeigt, dass bei der Überprüfung der Webapplikationen eines SAP-Systems zusätzliche Vorbereitungen getroffen werden müssen um eine Überprüfung vernünftig und vollständig durchführen zu können. Die Komplexität von SAP-Systemen ist hier einer der Hauptgründe, weshalb die Sicherheit von SAP-basierten Webapplikationen kaum oder gar nicht behandelt wurde. Diese Komplexität setzt sich auch bei den Webapplikationen fort und erfordert weitere Schritte um eine Überprüfung durchzuführen. Eine der ersten Fragen ist, welche Dienste bzw. Webapplikationen auf dem SAP-System aufrufbar sind. Schon dies ist in den meisten Fällen unbekannt und eine einfache Möglichkeit die tatsächlich vorhandenen Dienste zu erkennen fehlt. Daher ist der erste Schritt bei der Überprüfung der Webapplikationen eines SAP-Systems festzustellen, welche Dienste bzw. Webapplikationen angeboten werden. Hierfür wurde zunächst ein Perl-Skript gefertigt, später dann auf ein Plugin für den auch schon bei den klassischen Webapplikationen verwendeten WebInspect geschrieben, der diese Arbeit übernimmt. Dies kann nur automatisiert durchgefürhrt werden, da die mögliche Zahl an Diensten schon bei einer Basisinstallation ohne weitere Komponenten sehr hoch ist. Die einzelnen von einem SAP-System angebotenen Webapplikationen zeichnen sich durch eine eindeutige Starturl aus. In den in dieser Diplomarbeit verwendeten SAP-Systemen der Version 7.00 konnten insgesamt über 2000 URLs identifiziert werden (Tabelle 1: Anzahl der SAP URLs). Tabelle 1: Anzahl der SAP URLs Komponente URLs ABAP-Stack: 569 JAVA-STACK: Shortcuts zu anderen Applikationen 130 JAVA-STACK: Webdynpro-Applikationen 390 JAVA-STACK: Portal-Applikationen 1008 JAVA-STACK: gesamt: 1528 SAP gesamt 2097 Dienste ohne Shortcuts 1976 Auf Nachfrage bei Verantwortlichen ist die genaue Kenntnis darüber, welche Dienste angeboten werden nur selten vorhanden, schon daher ist Damian Schlager Seite 40
Sicherheit von SAP in Bezug auf neue Technologien ein solcher Scan zum Auffinden von den entsprechenden URLs sinnvoll. Außerdem lässt sich hierdurch auch definitiv feststellen, welche Dienste auch wirklich aufrufbar sind, unabhängig von einer unter Umständen nur schwer zu durchschauenden Konfiguration verschiedener Komponenten. Der Grund für die Erstellung des Skriptes bzw. des Plugins für das Prüfen der URLs ist, dass diese nicht durch automatisches Crawlen gefunden werden können. Es ist unter Umständen nicht einmal ein aufrufbares Rootverzeichnis vorhanden, weswegen ein automatisierter Scan gar nicht funktionieren und schon bei der ersten Seite stoppen würde. Ein manuelles Audit wäre aufgrund der Vielzahl an möglichen URLs wie oben erwähnt ebenfalls nicht möglich. Ebenso existieren kaum Links zwischen den Applikationen, so dass auch nach Kenntnis von einigen Applikationen andere noch immer verborgen bleiben. Zusammenfassend haben also folgende Punkte zur Erstellung des Skriptes und Plugins zur Überprüfung von SAP Systemen geführt: Mögliche URLs müssen im Vorfeld bekannt sein Mögliche URLs können nicht von Hand überprüft werden Automatische Crawlen der URLs ist im Vorfeld notwendig Die Basis-URLs, die die Dienste beschreiben, müssen im Vorfeld ein solches Programm eingetragen werden Soll nur ein einzelnes System überprüft werden, bestünde auch die Möglichkeit, dass ein Administrator die theoretisch aufrufbaren URLs anhand der Konfiguration ermitteln kann. Tatsächlich sind auch verschiedene Stellen in der Konfiguration die Quellen für die URLs die in das Skript und Plugin eingetragen wurden. Dennoch soll das Ziel sein, eine häufiger anwendbare Methode zur Überprüfung zu haben, die es nicht verlangt, bei jeder Überprüfung sämtliche URLs in der Konfiguration neu herauszuziehen. Es ist ebenfalls für weitere Überprüfungen wie den automatischen Teil des Audits über z.B. WebInspect notwendig, diese URLs in einer geeigneten Form zur Verfügung zu haben. Bei der Überprüfung der gefundenen URLs tritt ein ähnliches Phänomen auf wie bei der Referenzapplikation cirobank. Während es für klassische Webapplikationen jedoch eher selten ist, dass ein HTTP Status 200 als Antwort auf nicht verfügbare Ressourcen gesendet wird, ist es bei SAP der Normalfall. Damian Schlager Seite 41
Seite 1: Diplomarbeit in Computer Networking
Seite 4 und 5: Sicherheit von SAP in Bezug auf neu
Seite 96 und 97:
Sicherheit von SAP in Bezug auf neu
Seite 98 und 99:
Seite 100 und 101:
Seite 102 und 103:
Seite 104 und 105:
Seite 106 und 107:
Seite 108:
Alle anzeigen

Sicherheit von SAP in Bezug auf neue Technologien

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?