Sicherheit von SAP in Bezug auf neue Technologien
20.12.2013 Aufrufe
Teilen Einbetten Melden

Sicherheit von SAP in Bezug auf neue Technologien

Sicherheit von SAP in Bezug auf neue Technologien

Sicherheit von SAP in Bezug auf neue Technologien

MEHR ANZEIGEN
WENIGER ANZEIGEN
ePAPER LESEN
ePAPER HERUNTERLADEN
hs.furtwangen.de

Erfolgreiche ePaper selbst erstellen

Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.

JETZT STARTEN

<strong>Sicherheit</strong> <strong>von</strong> <strong>SAP</strong> <strong>in</strong> <strong>Bezug</strong> <strong>auf</strong> <strong>neue</strong> <strong>Technologien</strong><br />

Schwachstellen nicht grundsätzlich verh<strong>in</strong>dern, weil z.B. auch gründliche<br />

Programmierung aller Applikationen notwendig ist.<br />

Des Weiteren ist auch wie <strong>in</strong> Kapitel 2.3.4 beschrieben die E<strong>in</strong>gabe <strong>von</strong><br />

Schadcode nicht die e<strong>in</strong>zige Möglichkeit für Cross-Site-<br />

Script<strong>in</strong>g. Die Filterung, die <strong>SAP</strong> NetWeaver durchführt ist unvollständig<br />

und kann so bei e<strong>in</strong>igen Applikationen e<strong>in</strong> Cross-Site-Script<strong>in</strong>g nicht<br />

verh<strong>in</strong>dern. Es wird das tag herausgefiltert, allerd<strong>in</strong>gs ist das<br />

tag für Cross-Site-Script<strong>in</strong>g wie erwähnt nicht zw<strong>in</strong>gend.<br />

So kann z.B. <strong>in</strong> der <strong>SAP</strong> Webgui auch <strong>in</strong> der <strong>neue</strong>n Version 700 e<strong>in</strong> Cross-<br />

Site-Script<strong>in</strong>g erzeugt werden, <strong>in</strong>dem der Parameter<br />

~webguiuserareaheight wie im Folgenden Beispiel belegt wird:<br />

/sap/bc/gui/sap/its/webgui/?~webguiuserareaheight="> Diese E<strong>in</strong>gabe liefert ebenfalls<br />

e<strong>in</strong>en Proof-of-Concept, dass Cross-Site-Script<strong>in</strong>g hier funktioniert.<br />

Standardaccounts<br />

Als e<strong>in</strong> überaschend grosses Problem haben sich die Standardaccounts bei<br />

<strong>SAP</strong>-Systemen erwiesen. Bei klassischen Webapplikationen ist die Sorge,<br />

dass Benutzernamen oder Passwörter leicht zu erraten oder zu e<strong>in</strong>fach<br />

gestaltet s<strong>in</strong>d, überall verwendete, bekannte Benutzernamen –<br />

Passwortkomb<strong>in</strong>ationen f<strong>in</strong>det man selten. Im Gegensatz dazu ist vor Allem<br />

beim ABAP-Stack die Verwendung <strong>von</strong> bekannten Standardaccounts üblich.<br />

Da diese Accounts unter Umständen den kompletten Zugriff <strong>auf</strong> das <strong>SAP</strong>-<br />

System erlauben, müssen diese nach der Installation unbed<strong>in</strong>gt deaktiviert<br />

werden. Bei <strong>SAP</strong> NetWeaver JAVA wurde <strong>auf</strong> Standardaccounts<br />

überwiegend verzichtet. Trotzdem können auch hier automatisch generierte<br />

Benutzernamen für verschiedene Zwecke hergeleitet werden, da der<br />

dynamische Anteil der Systemname des <strong>SAP</strong>-Systems ist, der unter<br />

Umständen ausgelesen werden kann. Tabelle 2: <strong>SAP</strong> Standardaccounts<br />

bietet e<strong>in</strong>e kurze Übersicht über die bekanntesten Standardaccounts.<br />

Damian Schlager Seite 52

logo

Produkte

Ressourcen

Unternehmen

AGB
Datenschutzerklärung
Cookie-Richtlinien
Cookie-Einstellungen
Impressum
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hurra! Ihre Datei wurde hochgeladen und ist bereit für die Veröffentlichung.

Erfolgreich gespeichert!

Leider ist etwas schief gelaufen!