Sicherheit von SAP in Bezug auf neue Technologien
20.12.2013 Aufrufe
Teilen Einbetten Melden

Sicherheit von SAP in Bezug auf neue Technologien

Sicherheit von SAP in Bezug auf neue Technologien

Sicherheit von SAP in Bezug auf neue Technologien

MEHR ANZEIGEN
WENIGER ANZEIGEN
ePAPER LESEN
ePAPER HERUNTERLADEN
hs.furtwangen.de

Erfolgreiche ePaper selbst erstellen

Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.

JETZT STARTEN

<strong>Sicherheit</strong> <strong>von</strong> <strong>SAP</strong> <strong>in</strong> <strong>Bezug</strong> <strong>auf</strong> <strong>neue</strong> <strong>Technologien</strong><br />

Die meisten gefundenen Schwachstellen beziehen sich <strong>auf</strong> die Möglichkeit,<br />

<strong>in</strong>terne Informationen über das <strong>SAP</strong>-System e<strong>in</strong>zusehen. Über verschiedene<br />

Dienste können so detaillierte Informationen über das <strong>SAP</strong>-System, wie<br />

verschiedenste Versionsstände und <strong>in</strong>terne IP-Adressen z.B. über<br />

sap_<strong>in</strong>fo, als auch bei dem <strong>SAP</strong>-System <strong>auf</strong>rufbare, zusätzliche URLs z.B.<br />

über icf_<strong>in</strong>fo/urlprefix abgefragt werden.<br />

PORTAL<br />

Der Abl<strong>auf</strong> des automatischen Audits des JAVA-Stacks des <strong>SAP</strong> NetWeavers<br />

ist gleich und geschieht mit den gleichen Voraussetzungen wie mit dem<br />

ABAP-Stack. Auch hier zeigen sich die Grenzen des automatischen Audits,<br />

das bei klassischen Webapplikationen sehr gut funktioniert. Im Gegensatz<br />

zum ABAP-Stack würde e<strong>in</strong> Start des WebInspects mit den<br />

Standarde<strong>in</strong>stellungen ohne Plug<strong>in</strong> e<strong>in</strong>ige Seiten und Applikationen<br />

auditieren, da hier e<strong>in</strong> Teil des Inhalts ausgehend <strong>von</strong> dem Rootverzeichnis<br />

verl<strong>in</strong>kt ist. Dies ist jedoch nur e<strong>in</strong> Teil der Applikationen, daher ist auch<br />

hier die Benutzung des Plug<strong>in</strong>s mit den vore<strong>in</strong>gestellten Applikationen und<br />

weiteren E<strong>in</strong>stellungen notwendig, um sich e<strong>in</strong> Gesamtbild verschaffen zu<br />

können.<br />

Ebenso wie beim ABAP-Stack verhält sich der <strong>SAP</strong> NetWeaver auch hier<br />

nicht RFC-konform, <strong>in</strong>dem er <strong>auf</strong> nicht verfügbare Ressourcen mit e<strong>in</strong>em<br />

Statuscode „200 OK“ antwortet. Des Weiteren s<strong>in</strong>d beim JAVA-Stack<br />

wesentlich mehr Fehlermeldungen des Servers zu verzeichnen. E<strong>in</strong><br />

vollständiges, automatisches Audit aller <strong>auf</strong> <strong>SAP</strong> NetWeaver mit JAVA-Stack<br />

verfügbaren Applikationen ist kaum möglich, da es e<strong>in</strong>e viel zu lange Zeit <strong>in</strong><br />

Anspruch nimmt ohne erkennbar <strong>neue</strong> Ergebnisse zu liefern. Auf dem<br />

folgenden Screenshot (Abbildung 16: False-Positives bei <strong>SAP</strong>) ist zu<br />

erkennen, dass das Audit zu diesem Zeitpunkt schon 3GB an Antwortdaten<br />

zu verarbeiten hat und die Anzahl der gefunden Schwachstellen mit über<br />

37000 unrealistisch hoch ist. Der Grund für diese hohe Zahl ist im unteren<br />

Teil des Bildes zu erkennen, wo gleich mehrere Gruppen mit<br />

Schwachstellen <strong>auf</strong>geführt werden, die an 117 Stellen gefunden wurden<br />

und bei denen es sich offensichtlich um false-Positives handelt.<br />

Damian Schlager Seite 47

logo

Produkte

Ressourcen

Unternehmen

AGB
Datenschutzerklärung
Cookie-Richtlinien
Cookie-Einstellungen
Impressum
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hurra! Ihre Datei wurde hochgeladen und ist bereit für die Veröffentlichung.

Erfolgreich gespeichert!

Leider ist etwas schief gelaufen!