Sicherheit von SAP in Bezug auf neue Technologien

Weitere Magazine

Empfehlungen

Info

Sicherheit von SAP in Bezug auf neue Technologien Bei der Überprüfung des ABAP-Stacks mittels WebInspect finden sich mitunter Meldungen, die sich zunächst nicht eindeutig als reale Ergebnisse oder false-Positives erkennen. Hier ist zusätzlicher Arbeitsaufwand notwendig um diese Meldungen auf Richtigkeit zu überprüfen. Hierzu gehört im Falle des überprüften SAP NetWeaver eine mögliche SQL- Injection Schwachstelle, die wie hier zu sehen gemeldet wird (Abbildung 15: Possible SQL Injection bei SAP). Abbildung 15: Possible SQL Injection bei SAP Grund für diese Meldung ist der Parameter: sap-system-loginoninputprocessing=onChangePwd'+OR, der mit einem SQL-Injection Testpattern belegt wurde und die darauf folgende Antwort des SAP- Systems aus einer Fehlermeldung bestand, die nicht zu den häufig anzutreffenden Standardfehlerseiten gehört. Meldungen dieser Art des WebInspects sind ein Beispiel für die Grenzen von automatisierten Tests. Obowhl die Voraussetzung für WebInspect anhand des Resultates auf eine mögliche SQL-Injection Schwachstelle gegeben sind, zeigte sich auch in diesem Fall nach weiteren Prüfungen, dass es sich um ein false-Positive handelt. Eine Einschleußung von SQL-Anweisungen ist hier nicht möglich. Darüber hinaus handelt es sich hier um eine beabsichtige Fehlerseite, die aufgrund einer fehlgeschlagenen Eingabeprüfung angezeigt wird, und die nicht nur auf Versuche für SQL- Injection reagiert, sondern eine allgemeine Eingabeprüfung darstellt. Daher sollten auch in Zukunft Meldungen über mögliche SQL-Injection Schwachstellen in SAP kritisch betrachtet werden. Damian Schlager Seite 46
Sicherheit von SAP in Bezug auf neue Technologien Die meisten gefundenen Schwachstellen beziehen sich auf die Möglichkeit, interne Informationen über das SAP-System einzusehen. Über verschiedene Dienste können so detaillierte Informationen über das SAP-System, wie verschiedenste Versionsstände und interne IP-Adressen z.B. über sap_info, als auch bei dem SAP-System aufrufbare, zusätzliche URLs z.B. über icf_info/urlprefix abgefragt werden. PORTAL Der Ablauf des automatischen Audits des JAVA-Stacks des SAP NetWeavers ist gleich und geschieht mit den gleichen Voraussetzungen wie mit dem ABAP-Stack. Auch hier zeigen sich die Grenzen des automatischen Audits, das bei klassischen Webapplikationen sehr gut funktioniert. Im Gegensatz zum ABAP-Stack würde ein Start des WebInspects mit den Standardeinstellungen ohne Plugin einige Seiten und Applikationen auditieren, da hier ein Teil des Inhalts ausgehend von dem Rootverzeichnis verlinkt ist. Dies ist jedoch nur ein Teil der Applikationen, daher ist auch hier die Benutzung des Plugins mit den voreingestellten Applikationen und weiteren Einstellungen notwendig, um sich ein Gesamtbild verschaffen zu können. Ebenso wie beim ABAP-Stack verhält sich der SAP NetWeaver auch hier nicht RFC-konform, indem er auf nicht verfügbare Ressourcen mit einem Statuscode „200 OK“ antwortet. Des Weiteren sind beim JAVA-Stack wesentlich mehr Fehlermeldungen des Servers zu verzeichnen. Ein vollständiges, automatisches Audit aller auf SAP NetWeaver mit JAVA-Stack verfügbaren Applikationen ist kaum möglich, da es eine viel zu lange Zeit in Anspruch nimmt ohne erkennbar neue Ergebnisse zu liefern. Auf dem folgenden Screenshot (Abbildung 16: False-Positives bei SAP) ist zu erkennen, dass das Audit zu diesem Zeitpunkt schon 3GB an Antwortdaten zu verarbeiten hat und die Anzahl der gefunden Schwachstellen mit über 37000 unrealistisch hoch ist. Der Grund für diese hohe Zahl ist im unteren Teil des Bildes zu erkennen, wo gleich mehrere Gruppen mit Schwachstellen aufgeführt werden, die an 117 Stellen gefunden wurden und bei denen es sich offensichtlich um false-Positives handelt. Damian Schlager Seite 47
Seite 1: Diplomarbeit in Computer Networking
Seite 4 und 5: Sicherheit von SAP in Bezug auf neu
Seite 102 und 103:
Sicherheit von SAP in Bezug auf neu
Seite 104 und 105:
Seite 106 und 107:
Seite 108:
Alle anzeigen

Sicherheit von SAP in Bezug auf neue Technologien

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?