Sicherheit von SAP in Bezug auf neue Technologien
20.12.2013 Aufrufe
Teilen Einbetten Melden

Sicherheit von SAP in Bezug auf neue Technologien

Sicherheit von SAP in Bezug auf neue Technologien

Sicherheit von SAP in Bezug auf neue Technologien

MEHR ANZEIGEN
WENIGER ANZEIGEN
ePAPER LESEN
ePAPER HERUNTERLADEN
hs.furtwangen.de

Erfolgreiche ePaper selbst erstellen

Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.

JETZT STARTEN

<strong>Sicherheit</strong> <strong>von</strong> <strong>SAP</strong> <strong>in</strong> <strong>Bezug</strong> <strong>auf</strong> <strong>neue</strong> <strong>Technologien</strong><br />

Dennoch hat sich die Basis<strong>in</strong>stallation des NetWeaver ohne spezielle<br />

Applikationen als resistenter gegenüber Angriffen gezeigt, als es bei<br />

klassischen Webapplikationen der Fall ist.<br />

Insbesondere der JAVA-Stack hat ke<strong>in</strong>e generischen Angriffe, die<br />

unabhängig <strong>von</strong> e<strong>in</strong>er vom Kunden verwendeten Applikation s<strong>in</strong>d,<br />

zugelassen.<br />

Bei e<strong>in</strong>er vollständigen Überprüfung e<strong>in</strong>es <strong>SAP</strong> Systems als Ganzes und<br />

nicht nur e<strong>in</strong>zelner Webapplikationen ist die grösste Herausforderung das<br />

Auff<strong>in</strong>den tatsächlich verfügbarer Dienste. Sobald alle erreichbaren<br />

Webapplikationen bekannt s<strong>in</strong>d, kann im Wesentlichen e<strong>in</strong> Audit wie bei<br />

klassischen Webapplikationen durchgeführt werden, natürlich unter<br />

Beachtung der <strong>SAP</strong>-Besonderheiten wie globale Parameter.<br />

Auf diese Weise können außerdem Fehlkonfigurationen an der<br />

Rechtevergabe schnell und effektiv erkannt werden. E<strong>in</strong> untergeordneter<br />

Punkt hierbei ist auch die Informationsgew<strong>in</strong>nung. Teile der Applikation,<br />

wie z.B. durch direkten URL-Aufruf sichtbare Teile ohne<br />

Nutzungsberechtigung oder auch Fehlerseiten können so schon durch das<br />

automatische Audit durch e<strong>in</strong>en Webapplikationsscanner wie WebInspect<br />

gefunden werden.<br />

3.5 Zusammenfassung<br />

Bei der klassischen Webapplikation, die als Referenz verwendet wurde,<br />

verlief die Überprüfung wie es im Vorfeld zu erwarten war. Das<br />

automatische Audit des Scanners funktionierte bis <strong>auf</strong> e<strong>in</strong>ige kle<strong>in</strong>ere<br />

Schwächen problemlos und lieferte auch, abgesehen <strong>von</strong> ungewöhnlich<br />

vielen false-Positives, sehr gute Ergebnisse. Die manuelle Überprüfung<br />

vertiefte diese noch und förderte auch bedeutsame Schwachstellen zu<br />

Tage, die der Scanner nicht fand. Insgesamt verhielt sich die klassische<br />

Webapplikation wie Webapplikationen, die man auch im Internet f<strong>in</strong>det und<br />

auch die Überprüfung war vergleichbar, sowohl <strong>in</strong> H<strong>in</strong>blick <strong>auf</strong> den Abl<strong>auf</strong><br />

als auch <strong>auf</strong> die Ergebnisse.<br />

Bei <strong>SAP</strong> zeigte sich zunächst, dass schon das automatische Audit nicht ohne<br />

Weiteres möglich ist und der Scanner zunächst dar<strong>auf</strong> vorbereitet werden<br />

muss. Bei der dar<strong>auf</strong>h<strong>in</strong> möglichen Überprüfung waren die Ergebnisse<br />

sowohl bei ABAP auch auch bei JAVA <strong>von</strong> e<strong>in</strong>er Masse an false-Positives<br />

geprägt. Darüber h<strong>in</strong>aus waren verifizierbare, also echte Schwachstellen<br />

Damian Schlager Seite 60

logo

Produkte

Ressourcen

Unternehmen

AGB
Datenschutzerklärung
Cookie-Richtlinien
Cookie-Einstellungen
Impressum
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hurra! Ihre Datei wurde hochgeladen und ist bereit für die Veröffentlichung.

Erfolgreich gespeichert!

Leider ist etwas schief gelaufen!