Sicherheit von SAP in Bezug auf neue Technologien

Weitere Magazine

Empfehlungen

Info

Sicherheit von SAP in Bezug auf neue Technologien 3.3.3 Manuelle Überprüfung und weitere Ansatzpunkte für Angriffe Die manuelle Überprüfung muss bei jedem Audit durchgeführt werden, unabhängig davon, ob es sich um ein Audit eines SAP NetWeaver handelt oder um eine spezielle Applikation, die auf dem NetWeaver ausgeführt wird. Im Rahmen dieser Diplomarbeit wurde besonderen Wert darauf gelegt, sowohl Aussagen über Anfälligkeiten für Angriffe treffen zu können, als auch bislang unbekannte Ansatzpunkte zu entwickeln, die sich so bei klassischen Webapplikationen nicht finden. Da über diese neuen Ansatzpunkte bislang nichts bekannt ist, wurde hier viel Arbeit während der Durchführung dieser Diplomarbeit investiert. Cross-Site-Scripting Cross-Site-Scripting ist, wie die meisten der entdeckten Sicherheitsprobleme, vor Allem bei SAP NetWeaver auf ABAP Basis zu finden. Es ist gleichzeitig ein Thema, das bei SAP sehr wohl als Problem erkannt wurde und für das auch zunehmend Lösungsmöglichkeiten gesucht und implementiert werden. Verschiedene Tests mit dem zusätzlich installierten SAP NetWeaver mit ABAP-Stack in der Version 640 zeigten, dass es hier deutliche Fortschritte gibt und in Version 700 weniger Möglichkeiten zur Durchführung von Cross-Site-Scripting bestehen. Bei SAP besteht häufig die sonst seltene Möglichkeit, Cross-Site-Scripting als Teil der URL und nicht als GET oder POST Parameter zu verwenden. Ein sehr einfaches Beispiel findet sich in der ABAP Applikation /sap/cachetest. Ruft man diese Applikation mit Hilfe der URL /sap/bc/cachetest/alert(‘XSS’) auf, wird bei einem SAP NetWeaver in der Version 640 dieses Script tatsächlich ausgeführt und in diesem Fall die Alertbox angezeigt. In Version 700 hat SAP einen HTTP Filter eingebaut, der auch vor Cross Site Scripting schützen soll. Eine Eingabe von /sap/bc/cachetest/alert(‘XSS’) hier führt zu einer „Access denied“ Fehlermeldung (Abbildung 19: Neuer HTTP Filter): Damian Schlager Seite 50
Sicherheit von SAP in Bezug auf neue Technologien Abbildung 19: Neuer HTTP Filter Dass bei SAP die Sicherheit ihrer Produkte und hierbei auch Cross-Site- Scripting bei der Webapplikationssicherheit eine zunehmende Bedeutung gewinnt, spielt sicherlich eine Rolle dabei, dass das automatische Audit keine verwertbaren Cross-Site-Scripting Schwachstellen gefunden hat und auch hier bei der manuellen Prüfung die Ausnutzung erschwert wird. Dies bedeutet allerdings nicht, dass die Probleme behoben sind, es wird zwar die Eingabe von Tags and dieser Stelle verhindert, aber dies deckt nicht alle Möglichkeiten ab Cross-Site-Scripting Schwachstellen auszunutzen und ist außerdem noch applikationsabhängig. Es ist daher beispielsweise in der Komponente /sap/bc/bsp/sap/btf_ext_demo auch weiterhin möglich, mit Hilfe dieser bekannten Tags Cross-Site-Scripting durchzuführen (Abbildung 20: Cross- Site-Scripting bei SAP). Abbildung 20: Cross-Site-Scripting bei SAP Es ist also durchaus eine Verbesserung mit neueren Versionen zu verzeichnen, aber dies kann das Ausnutzen von Cross-Site-Scripting Damian Schlager Seite 51
Seite 1:
Diplomarbeit in Computer Networking
Seite 4 und 5:
Sicherheit von SAP in Bezug auf neu
Seite 6 und 7: Sicherheit von SAP in Bezug auf neu
Seite 106 und 107:
Seite 108:
Alle anzeigen

Sicherheit von SAP in Bezug auf neue Technologien

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?