Sicherheit von SAP in Bezug auf neue Technologien

Weitere Magazine

Empfehlungen

Info

Sicherheit von SAP in Bezug auf neue Technologien dieser Applikation angezeigt (Abbildung 24: Cross-Site-Scripting in Parameter). Abbildung 24: Cross-Site-Scripting in Parameter Ein weiteres Cross-Site-Scripting wurde in einer für klassische Webapplikationen in dieser Form nicht bekannten Variante gefunden. Hier war die Eingabe von zwei Slashes (//) am Ende der URL notwendig gefolgt von dem Angriffspattern. In diesem Fall ergab sich ein Angriffsmuster von der URL: https://..../xxxter//">alert(document.cookie). Auch hier wurden alle gültigen Cookies preisgegeben und die Mölichkeit des Cross-Site-Scriptings erwiesen. Ein schwerwiegender Fehler war in dieser Applikation, dass es möglich war, einen Parameter zu verändern, der die Ausgabe der Applikation beeinflusste. Durch gezieltes Verändern dieses Parameters war es möglich, auf einen Teil der in der internen Datenbank hinterlegten Daten zuzugreifen, die zu anderen Benutzern gehörten. Die Eigenschaft der Applikation, auf die Veränderung des Parameters mit der Herausgabe von benutzerfremden Daten zu reagieren war hierbei auf einen Fehler bei SAP zurückzuführen. Die Überprüfung eines im Einsatz befindlichen SAP-Systems auf JAVA Basis hat also reale Schwächen aufgezeigt, die auch, wie in diesem Fall, den Livegang einer Applikation die zuvor hin Hinblick auf Sicherheit entwickelt wurde zu verzögern. 3.4 Vergleich der Ergebnisse Bei der klassischen Webapplikation waren die Ergebnisse so zu erwarten. Auch wenn es sich nur um eine Beispielapplikation handelte, so konnte doch gezeigt werden, dass schon das automatische Audit sehr gute Ergebnisse liefern konnte, die durch eine manuelle Nacharbeit, wie sie auch üblich ist, vervollständigt werden konnte. Die Ergebnisse belaufen sich von unkritischen, kleinen Fehlern in der Konfiguration wie bei den Directory- Listings, über Cross-Site-Scripting bis hin zu SQL-Injection und damit Damian Schlager Seite 58
Sicherheit von SAP in Bezug auf neue Technologien direktem Zugriff auf die Datenbank. Diese Ergebnisse waren relativ einfach zu erreichen, da sowohl das Programm WebInspect dafür ausgelegt als auch die durchzuführenden Arbeiten und Möglichkeiten bekannt waren. Demgegenüber war die Sicherheit von SAP in Hinblick auf Webapplikationen vor der Durchführung dieser Arbeiten noch völlig unbekannt und wurde auch noch nie ernsthaft untersucht. Das Programm WebInspect war nicht auf die Gegebenheiten von SAP angepasst und konnte nur sehr wenige Ergebsnisse liefern, die sich dann allerdings in Verbindung mit den sogenannten heterogenen Systemen doch insoweit verbesserten, dass bekannte Angriffe auf klassische Webapplikationen auch auf das dahinter liegende SAP-System übertragen werden konnten, wie bei den gefundenen Cross-Site-Scripting Schwachstellen in der URL, für die SAP als Ursache ausgemacht werden konnte. Bei der manuellen Überprüfung der SAP Systeme ergab sich ein anderes Bild der Situation und vor Allem für den ABAP-Stack konnten gravierende Sicherheitsprobleme aufgedecken werden. Besonders hervorzuheben ist die Kombination des ABAP-Parameters sap_client und die Verwendung von Standardaccounts, da es sich hier um einen generischen Ansatz handelt und damit alle SAP Systeme auf ABAP- Basis betrifft, unabhängig von der verwendeten bzw. überprüften Applikation. Um so gravierender ist, dass auf diesem Weg weitreichende Systemrechte erlangt werden können und somit ein anomymer Benutzer, für den die Applikation bzw. das SAP-System lediglich über HTTP erreichbar ist nahezu oder vollständige Administrationsrechte besitzt. Dieser Angriff ist kein theoretisches Konstrukt, sondern ein real möglicher Angriff. Verschlimmert wird die Situation mit Standardaccounts durch die Tatsache, dass die Verwendung eines anderen Mandanten über den Parameter sap_client nicht immer notwendig ist und sogar die bei der Installation angelegten Administratorkonten unbenutzt und damit mit dem Standardpasswort öffentlich verfügbar sind. Die manuelle Überprüfung hat außerdem gezeigt, dass es einige konzeptionelle Schwachstellen gibt, die bei einer Überprüfung einzelner Webapplikationen auf Basis von SAP von Bedeutung sind wie mögliches Cross-Site-Scripting, Anzeige von Quelltexten und anderen Informationen oder Beeinflussung des Verhaltens des SAP-Systems über Veränderung von Parametern. Hierzu gehört auch, dass SAP trotz Verbesserung wie dem HTTP_Filter keinen grundsätzlichen Schutz vor von klassischen Webapplikationen bekannten Angriffen bieten kann. Damian Schlager Seite 59
Seite 1:
Diplomarbeit in Computer Networking
Seite 4 und 5:
Sicherheit von SAP in Bezug auf neu
Seite 6 und 7:
Seite 8 und 9:
Seite 10 und 11:
Seite 12 und 13:
Seite 14 und 15: Sicherheit von SAP in Bezug auf neu
Seite 108: Sicherheit von SAP in Bezug auf neu
Alle anzeigen

Sicherheit von SAP in Bezug auf neue Technologien

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?