Sicherheit von SAP in Bezug auf neue Technologien

Weitere Magazine

Empfehlungen

Info

Sicherheit von SAP in Bezug auf neue Technologien Abbildung 16: False-Positives bei SAP In diesem Zusammenhang zeigt sich wiederum auch, dass die Ergebnisse des automatischen Audits generell manuell verifiziert werden sollten, da auch wie im folgenden Fall Prüfungen nicht gründlich durchgeführt werden. Hier (Abbildung 17: Beispiel false-Positive) wurde das < und > in der Antwort durch < und > codiert, wodurch der hier als erfolgreich gemeldete Angriff nicht funktionieren würde. Abbildung 17: Beispiel false-Positive Das im Falle einer Basisinstallation des SAP Netweaver JAVA-Stacks wie in dieser Diplomarbeit einzige nennenswerte Ergebnis trotz der zahlreichen Applikatonen, die das System anbietet, ist die Offenlegung interner Pfade und Informationen, wie Abbildung 18: Interne Pfade zu sehen. Damian Schlager Seite 48
Sicherheit von SAP in Bezug auf neue Technologien Abbildung 18: Interne Pfade Dass durch das automatische Audit nur so wenige Schwachstellen gefunden wurden, wurde im Vorfeld nicht erwartet. Unter anderem auf Backtraces von diversen Fehlermeldungen, die die Prüfungen des Programms verursacht haben ist zu sehen, dass bei der Verarbeitung auf dem JAVA Stack auch immer Sicherheitskomponenten integriert sind, die dann z.B. auch dafür sorgen, dass wie oben gesehen, Tags codiert werden. Es kann bereits jetzt gesagt werden, dass für Applikationen auf Basis des JAVA Stacks tatsächlich die korrekt vergebenen Berechtigungen eine wesentliche Rolle spielen. Gerade hier ist auch das WebInspekt Plugin eine gute Methode, um die korrekte Rechtevergabe zu überprüfen. Durch Angabe von keinem Benutzer, unpriviligierten Benutzer etc. innerhalb des WebInspects kann so, auch ohne automatisches Audit, innerhalb von Minuten festgestellt werden, ob Benutzergruppen eventuell auf Applikationen zugreifen können, die nur für höher priviligierte Benutzer zugänglich sein sollten. Dass diese durch den SAP NetWeaver JAVA gegebene Sicherheit keineswegs allgemeingültig ist, ist in Kapitel 3.3.4 beschrieben, bei der kurz auf die Auswirkungen von Architekturen eingegangen wird, bei denen SAP NetWeaver nur einen Teil der Verarbeitungsschritte von Anfragen und Antworten übernimmt. Damian Schlager Seite 49
Seite 1:
Diplomarbeit in Computer Networking
Seite 4 und 5: Sicherheit von SAP in Bezug auf neu
Seite 104 und 105:
Sicherheit von SAP in Bezug auf neu
Seite 106 und 107:
Seite 108:
Alle anzeigen

Sicherheit von SAP in Bezug auf neue Technologien

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?