Sicherheit von SAP in Bezug auf neue Technologien

Weitere Magazine

Empfehlungen

Info

Sicherheit von SAP in Bezug auf neue Technologien Dieser Paramter bzw. Angriff kann sehr einfach verwendet werden, sehr weitreichende Systemrechte zu gewinnen. Darüber hinaus wird unter Umständen die Verfügbarkeit des Supportclienten verlangt um Support zu bekommen, was die Eintrittswahrscheinlichkeit dieses Angriffs stark erhöht. Parameter: sap-login-method Festlegung der Authentifizierungsmethode, hier kann z.B. http_basic eingetragen werden, um eine Basic-Authentifizierung zu erzwingen. Dieser Parameter wurde im Rahmen dieser Diplomoarbeit in Kombination mit dem folgenden sap-login-basic_auth verwendet. Parameter: sap-login-basic_auth Mittels sap-login-basic_auth=X wird dem Server mitgeteilt, dass eine Authentifizierung bereits stattgefunden hat, und sich die Daten in einem Cookie befinden, das mitgeschickt wird. Damit ist der Benutzer zwar nicht automatisch angemeldet, weil keine Sessiondaten übertragen werden, aber damit ist es möglich, die normale Authentifizierungsseite zu umgehen, und eine Basic-Authentifizierung auszulösen. Nützlich war diese Eigenschaft, um die SAP-Server skriptbasiert dahingehend zu testen, ob ein Dienst eine weiter gehende Authentifizierung verlangt oder nicht, da diese Information auf diese Weise über den HTTP- Status Code erlangt werden kann. Anzeige des Quellcodes Der ABAP-Stack bringt eine Funktion zum Debuggen von Programmfehlern. In Fällen, bei denen ein Programmfehler provoziert werden kann, werden also als Antwort detaillierte Informationen ausgegeben, wie der Fehler entstand mitsamt verschiedenen Daten des darunter liegenden SAP Systems. Dies geht so weit, dass der Quellcode mit angegeben wird, sollte ein Programmfehler auftreten. Damian Schlager Seite 54
Sicherheit von SAP in Bezug auf neue Technologien Abbildung 21: Source Code Disclosure Im vorliegenden Fall (Abbildung 21: Source Code Disclosure) beinhaltet die Zeile REPLACE ‚/N’ IN SECTION OFFSET 0 LENGTH 2 OF TCODESTR WITH ‚’ IN CHARACTER MODE IGNORING CASE einen Fehler, der die Möglichkeit bietet, eine Eingabe zu tätigen, die das Programm nicht verarbeiten kann. 22 Der hier vorliegende, konkrete Fall ist nicht kritisch, es zeigt aber, dass ein System auf ABAP Basis per Design die Möglichkeit bereitstellt, den Quellcode mitsamt einiger detaillierter Systeminformationen einzusehen. Es kann nicht ausgeschlossen werden, dass andere Programme, oder auch nur bei Unternehmen übliche Anpassungen bestehender Programme wichtige Informationen enthalten, daher sollte eine Anzeige des Quellcodes von Programmen niemals für anonyme oder unpriviligerte Benuter möglich sein. 22 Um dieser Fehler auszunutzen müssen 2 Parameter gesetzt werden. Zum einen muss der Parameter ~transaction nicht belegt sein, wie in Zeile 66 und 67 zu lesen ist. Ist dies gegeben, wird der Parameter ~okcode ausgewertet, der im normalen Betrieb immer 2 oder mehr Zeichen enthält. Da es sich um sowohl um ~transaction als auch ~okcode um normale HTTP GET Parameter handelt, kann manuell sehr einfach auch nur eine Stelle eingegeben werden. Der eigentliche Programmfehler tritt dann wie oben erwähnt in den Zeilen 78/79 auf, wo versucht wird, 2 Zeichen des Parameters ~okcode zu entfernen. Sind hier weniger als 2 Zeichen enthalten, fürt dies zu der Debugausgabe. Damian Schlager Seite 55
Seite 1:
Diplomarbeit in Computer Networking
Seite 4 und 5:
Sicherheit von SAP in Bezug auf neu
Seite 6 und 7:
Seite 8 und 9:
Seite 10 und 11: Sicherheit von SAP in Bezug auf neu
Seite 108: Sicherheit von SAP in Bezug auf neu
Alle anzeigen

Sicherheit von SAP in Bezug auf neue Technologien

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?