Sicherheit von SAP in Bezug auf neue Technologien

Weitere Magazine

Empfehlungen

Info

Sicherheit von SAP in Bezug auf neue Technologien 3.3.4 Heterogene Systeme Architekturbeispiel Während der Bearbeitung dieser Diplomarbeit bestand für den Verfasser die Möglichkeit, eine Webapplikation zu auditieren, die auf dem SAP NetWeaver JAVA aufsetzt, jedoch aus verschiedenen Komponenten besteht, die in Abbildung 22:Aufbau einer heterogenen Umgebung in vereinfachter Form beschrieben werden. So waren an dem Aufbau der Webapplikation SAP, Apache und Tomcat beteiligt. Die Details dieser Überprüfung sind selbstverständlich nicht öffentlich, doch konnten diese Ergebnisse in kurzer und anonymisierter Form in diese Diplomarbeit mit übernommen werden um Aussagen über die Sicherheit von Webapplikationen auf Basis von SAP zu belegen. Die Auditierung dieser Applikation zeigte Schwachstellen auf, die durch die Überprüfung des SAP NetWeavers JAVA für diese Diplomarbeit nur ansatzweise zu erkennen waren. Die Authentifizierung der Benutzer wurde in diesem Beispiel getrennt hiervon durch ein spezielles Sicherheitsprodukt vorgenommen. Abbildung 22:Aufbau einer heterogenen Umgebung Damian Schlager Seite 56
Sicherheit von SAP in Bezug auf neue Technologien Die relevanten Zugriffe erfolgten zunächst, durch einen Apache im reverseproxy-Modus mit mod_security geschützt, auf einen SAP NetWeaver. Von einer dort installlierten Komponente wurden die Anfragen zu einem Apache mit Tomcat weitergeleitet, auf dem wiederum ein Plugin für diese zusätzliche SAP-Komponente aktiviert war. Als letzter Schritt wurde dann auf einem weiteren SAP System die weitere Verarbeitung übernommen und auch der Zugriff auf eine Datenbank vorgenommen, die u.a. sensible Kundendaten enthielt. Es entstand also eine Architektur, die sich dem Client als Mischarchitektur von SAP NetWeaver JAVA und klassischer Webapplikation über Tomcat darstellte. Die in diesem Beispiel auditierte Applikation war relativ klein und, da auf interne SAP-Datenbestände zugegriffen wurde, speziell und gründlich abgesichert, was im Vorfeld keine große Anzahl an Funden von Gefährdungen erwarten ließ. Dennoch zeichnet dieses Beispiel ein ernüchterndes Bild von der zuvor an einem reinen SAP-System überprüften Sicherheit von Webapplikationen auf Basis von SAP. Es lassen sich aus dieser Überprüfung vier signifikante Ergebnisse erkennen, die sich aus falscher Konfiguration des SAP-Systems, mögliches Cross-Site-Scripting, und Parameter-Tampering zusammen setzen. Die fehlerhafte Konfiguration eines beteiligten SAP-Systems führte zur Preisgabe der verwendeten Version und, als kritischer zu betrachten, der Möglichkeit von Directory-Listings (Abbildung 23: Directory-Listing mit Versionsangabe). Abbildung 23: Directory-Listing mit Versionsangabe Durch dieses Directory-Listing konnten verschiedenste Dateien heruntergeladen werden und war nicht auf dieses Verzeichnis beschränkt. Cross-Site-Scripting war hier gleich an mehreren Stellen möglich. So war durch die Eingabe von "onload=javascript:alert(document.cookie)>
Seite 1:
Diplomarbeit in Computer Networking
Seite 4 und 5:
Sicherheit von SAP in Bezug auf neu
Seite 6 und 7:
Seite 8 und 9:
Seite 10 und 11:
Seite 12 und 13: Sicherheit von SAP in Bezug auf neu
Seite 108: Sicherheit von SAP in Bezug auf neu
Alle anzeigen

Sicherheit von SAP in Bezug auf neue Technologien

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?