In Sammlung (en) In der gespeicherten
  1. Ingenieurwissenschaft
  2. Informatik
  3. Datenbank

TITEL bearbeiten

Werbung 
Andreas Wiegenstein
TITEL
bearbeiten
Dr. Markus Schumacher
(3) … (2) … (1) … (SAP_ALL)
DSAG
Professional
Services
- 29.11.2012
Webinar
Click
toAKedit
Master
text
styles
 Second level
 Third level
 Fourth level
 Fifth level
©
© 2012
2011 Virtual
2012
Virtual Forge
Forge GmbH
GmbH || www.virtualforge.com
www.virtualforge.com || All
All rights
rights reserved.
reserved.
TITELAuto,
Mein
bearbeiten
mein Haus, mein Boot, …
Andreas Wiegenstein
 Click to edit Master text styles

Gründer von Virtual Forge (Heidelberg), verantwortlich für R&D

SAP Security Researcher, aktiv seit 2003
 Third
levelfür mehr als 20 gemeldete 0-day Schwachstellen
 Credit
von SAP

 Fourth
levelauf internationalen Konferenzen
Regelmäßiger
Referent
Fifth(USA
level& Europa) / 2005 (USA) / 2006 (USA), DSAG
 SAP TechEd 2004
 Second level
2009
 BlackHat 2011 (Europa), Hack in the Box 2011 (Europa)
 Troopers 2011 & 2012 (Europa), RSA 2012 (USA)

Co-Autor „Sichere ABAP Programmierung" (SAP Press)

Training Class WDESA3 @ SAP University
©
© 2012
2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
INHALT
TITEL bearbeiten
(3)
SAPto
Audits
und Eigenentwicklungen
 Click
edit Master
text styles
 Second level
(2) Sicherheitsrisiken
in ABAP
 Third level
 Fourth level
(1) Prüfung von
Eigenentwicklungen
 Fifth
level
(SAP_ALL) Demos
©
© 2012
2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
TITEL bearbeiten
(3) SAP Audits und Eigenentwicklungen
 Click to edit Master text styles
 Second level
 Third level
 Fourth level
 Fifth level
©
© 2012
2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
TITEL
SAP
Audits
bearbeiten
 Prüfungsaktivitäten
beziehen
sich auf den SAP Standard
Click to edit Master
text styles
 Schutz von Transaktionen
 Second level
 Schutz von Tabellen
 Third level
 SoD
 Fourth level
 Prüfungen basieren auf SAP Standard
 Fifth level
 Kritische Transaktionen sind bekannt
 Kritische Tabellen sind bekannt
©
© 2012
2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
TITELStandard
SAP
bearbeiten
- Schutz nach Standard
Transaktionaler Schutz : Anlegen von ABAP Programmen
 Click to edit Master text styles
 Second level
S_TCODE ?
 Third level
 Fourth level
ABAP
Workbench (SE80)
 Fifth
level
S_DEVELOP ?
Produktivsystem ?
INSERT REPORT
Erzeugt ABAP Programme
©
© 2012
2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
TITEL
SAP
Audits
bearbeiten
Segeln in vertrauten Gewässern
 Click to edit Master text styles
 Second level
 Third level
 Fourth level
 Fifth level
©
© 2012
2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
TITEL bearbeiten
Eigenentwicklungen
Aber was, wenn die Regeln nicht mehr gelten?
 Click to edit Master text styles
 Second level
 Third level
 Fourth level
 Fifth level
©
© 2012
2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
TITEL bearbeiten
Eigenentwicklungen
in Zahlen
Unternehmen
haben
~ 1.65text
Mio styles
LOC Custom ABAP (netto) *
 Click to edit
Master
 Second level
Dies entspricht
etwa 1% des SAP Standards (ECC 6.0)
 Third level
 Fourth level
Das wären 8 Bermuda Dreiecke auf der Erde, was der doppelten
 Fifth level
Fläche des Mittelmeeres entspräche.
* Virtual Forge Studie mit 45 Firmen und 100 Mio LOC (netto)
Netto = Code ohne Kommentare und Leerzeilen
©
© 2012
2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
TITEL bearbeiten
ABAP
Code im IKS Kontext
IKS-Struktur im ERP-Umfeld
 Click to edit Master text styles
Generellen
Kontrollen (ITGC - IT General Controls)
 SecondITlevel
 Third level (Change Management)
Änderungswesen
 Fourth level
ABAPCode
Fifth level
Risiken für Geschäftsprozesse
Vollständigkeit
Richtigkeit
Funktionstrennung
Rechte
Nachvollziehbarkeit
Datenschutz
©
© 2012
2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
…
TITEL
SAP
Audits
bearbeiten
Ein
Unternehmen
immer
fürstyles
eigenen Code*
 Click
to edithaftet
Master
text
 Second level
Relevanz Third level
 Hausinterne
Entwicklung
 Fourth
level
 Outsourcing  Fifth level
 Firmenzukäufe
* (Chuprunov, SAP Revision, SAP Press, 2012)
©
© 2012
2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
TITEL bearbeiten
Eigenentwicklungen
Eigenentwicklungen können sämtliche Regeln außer Kraft setzen
 Click to edit Master text styles
 Second level
 ThirdRisiko
level
Transaktion ZTRANS1
 Fourth level
Erzeugt ABAP Programme
INSERT REPORT
 Fifth level
Risiko
Transaktion ZTRANS2
Risiko
REPORT ZREP
Risiko
Web Dynpro Anwendung ZWD
©
© 2012
2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Risiko
Funktionsbaustein ZFB1
Risiko
Funktionsbaustein ZFB2
Risiko
Business Server Page ZBSP
TITEL bearbeiten
(2) Sicherheitsrisiken in ABAP
 Click to edit Master text styles
 Second level
 Third level
 Fourth level
 Fifth level
Grafikquelle: http://de.wikipedia.org/wiki/Europa
©
© 2012
2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
TITEL bearbeiten
Kritische
ABAP Befehle
Befehl
 Click
to
INSERT
REPORT
Wirkung
edit MasterErstellung
text styles
von ABAP Code
 Second level
 Third level
-
Keine S_DEVELOP Prüfung
Keine Prüfung auf Produktivsystem
Ermöglicht direkte Modifikation des Standards
CALL 'SYSTEM'
Ausführung beliebiger Betriebssystem-Kommandos

Fourth
level
CALL 'ThWpInfo'
- Bypass von SM49/SM69
- Keine S_LOG_COM Prüfung
 Fifth level
CALL 'C_DB_EXECUTE'
CALL 'C_DB_FUNCTION'
Ausführung beliebiger nativer SQL Kommandos
- Bypass von S_TABU_* Prüfungen
- Bypass von Änderungsbelegen
- Umgehen der Mandantentrennung
- Umgehen der OSQL Einschränkungen
CLIENT SPECIFIED Option
Umgehen der Mandantentrennung
INSERT
UPDATE
MODIFY
DELETE
Direkte Modifikation auf der Datenbank
- Bypass von S_TABU_* Prüfungen
- Bypass von Änderungsbelegen
dbtab
dbtab
dbtab
dbtab
©
© 2012
2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
TITEL bearbeiten im ABAP
Sicherheitsrisiken
Was
kannto
schief
 Click
editgehen?
Master text styles
1. Berechtigungsfehler
 Second level
2. Injection
Schwachstellen
 Third
level
3. Hintertüren
und Standard-Bypasses
 Fourth
level
4. Datenlecks  Fifth level
©
© 2012
2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
TITEL
#1
Berechtigungsfehler
bearbeiten
IF sy-uname <> for_user.
 AUTHORITY-CHECK
Click to edit
Master
text styles
OBJECT
'S_DEVELOP'
ID 'DEVCLASS' DUMMY
 Second level
ID 'OBJTYPE'
ID
 Third level
'OBJNAME'
FIELD for_user
ID 'P_GROUP'
DUMMY
ID 'ACTVT'
FIELD '90'.
 Fourth level
ELSE.
FIELD 'DEBUG'
 Fifth level
AUTHORITY-CHECK OBJECT 'S_DEVELOP'
ID 'DEVCLASS' DUMMY
ID 'OBJTYPE'
FIELD 'DEBUG'
ID 'OBJNAME'
DUMMY
ID 'P_GROUP'
DUMMY
ID 'ACTVT'
FIELD '03'.
IF sy-subrc <> 0.
cx_wd_general=>raise( text-001 ).
ENDIF.
ENDIF.
©
© 2012
2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
TITEL
#1
Berechtigungsfehler
bearbeiten
- Statistik
Es
gibt imto
Schnitt
1 kritischen
alle 1.400 LOC*
 Click
edit Master
textBerechtigungsfehler
styles
 Second level
 Third level
* Virtual Forge
Studielevel
mit 45 Firmen und 100 Mio LOC (netto)
 Fourth
Netto = Code ohne Kommentare
 Fifth levelund Leerzeilen
©
© 2012
2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
TITEL
#2
Injections
bearbeiten
DATA promotion TYPE string.
DATAClick
to TYPE
editstring.
Master text styles
filename
DATA mytext
TYPE string.
 Second level
promotion 
= request->get_form_field('promo').
Third level
 Fourth level
CONCATENATE '/sap/tmp/data/' promotion INTO filename.
OPEN DATASET filename
 FOR
FifthINPUT
levelIN TEXT MODE ENCODING DEFAULT.
mytext = ''.
WHILE sy-subrc = 0.
IF mytext IS NOT INITIAL AND mytext NE ''.
page->write( mytext ).
ENDIF.
READ DATASET filename INTO mytext.
ENDWHILE.
©
© 2012
2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
TITEL
#2
Injections
bearbeiten
„Normale“ Eingabe durch Benutzer
 Click to edit Master text styles
promo=flightapp/promotion/summer.txt
 Second level
Resultierender Dateizugriff
 Third level
/sap/tmp/data/flightapp/promotion/summer.txt
 Fourth level
 Fifth level
Unerwartete Eingabe durch Benutzer ( Injection durch Zeichenfolge ../ )
promo=../../../etc/passwd
Resultierender Dateizugriff
/sap/tmp/data/../../../etc/passwd
/sap/tmp/../../etc/passwd
/sap/../etc/passwd
/etc/passwd
©
© 2012
2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
DEMO
TITEL
#2
Injections
bearbeiten
- Statistik
Es
gibt imto
Schnitt
1 kritische
Injection
 Click
edit Master
text
stylesSchwachstelle alle 5.800 LOC*
 Second level
 Third level
* Virtual Forge
Studielevel
mit 45 Firmen und 100 Mio LOC (netto)
 Fourth
Netto = Code ohne Kommentare
 Fifth levelund Leerzeilen
©
© 2012
2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
TITEL
#3A
Hintertüren
bearbeitenbeim Kunden
„Die
drei Entwickler“
 Click
to edit Master text styles
Produktive
BSP Anwendung
mit versteckter Seite
 Second
level
 Für „normale“
Benutzer leer
 Third level
 Für drei Entwickler
Hintertür, um beliebige Tabellen auszulesen
 Fourth level
 Fifth level
DEMO
©
© 2012
2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
TITEL
#3B
Hintertüren
bearbeitenim Standard
 Click to edit Master text styles
 Second level
 Third level
 Fourth level
 Fifth level
Direkte Eingabe von “OK Codes” in TA RSRV
1.
Normaler Programmfluss:
"display"
2.
Versteckter Programmfluss:
"editor_call“
Keine „echte“ Hintertür, aber ein schönes „Osterei“
©
© 2012
2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
TITEL
#4
Datenlecks
bearbeiten
Fehlerhafter
Funktionsbaustein
 Click toRFC-fähiger
edit Master
text styles
 Input:
PERID level
ppp und PERNR nnn
 Second
 Output
Fehlerfall:
„Die angegebene PERID und PERNR passen
 im
Third
level
nicht zusammen.
PERNR nnn ist PERID xxx zugeordnet.“
 FourthDer
level
 Fifth level
STORY
©
© 2012
2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
TITEL bearbeiten
(1) Prüfung von Eigenentwicklungen
 Click to edit Master text styles
 Second level
 Third level
 Fourth level
 Fifth level
©
© 2012
2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
TITEL bearbeiten
BIZEC
APP/11 Prüfempfehlungen
ID
Schwachstelle
 Click
toCommand
edit Master
APP-01
ABAP
Injection
Beschreibung
textAusführung
stylesbeliebigen ABAP Codes
APP-02

OS Command
Injection
Second
level
APP-03
Improper
 ThirdAuthorization
level
APP-04
Generic Module Execution
APP-05
Cross-Client Database Access
Mandantenübergreifender Zugriff auf Geschäftsdaten
APP-06
SQL Injection
Schadhafte Manipulation von Datenbankbefehlen
APP-07
Unmanaged SQL
Verwendung nativer Datenbankbefehle
APP-08
Cross-Site Scripting
Manipulation des Browser UI, Diebstahl von Berechtigungen
APP-09
Cross-Site Request Forgery
Ausführung von Business Logik im Namen eines anderen
Benutzers.
APP-10
File Upload (Malware)
Speicherung schadhafter Dateien auf dem SAP Server
APP-11
Directory Traversal
Unerlaubter Schreib-/Lesezugriff auf Dateien (SAP Server)
(Missing, Broken, Proprietary, Generic)
 Fourth level
 Fifth level
Ausführung beliebiger Betriebssystem-Kommandos
Fehlende oder fehlerhafte Berechtigungsprüfung
Unerlaubte Ausführung von Modulen (Reports, FuBas, etc)
©
© 2012
2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
TITEL bearbeiten
Weitere
Informationen
BIZEC – Business Security Initiative
Organisationen
http://www.bizec.org
 Click to edit Master text styles
 Second level
Literatur
 Third level
 Fourth level
Sichere ABAP-Programmierung
(SAP PRESS, 372 S., 2009)
Andreas Wiegenstein, Markus Schumacher,
Sebastian Schinzel, Frederik Weidemann
 Fifth level
Handbuch SAP-Revision
(SAP PRESS, 700 S., 2012)
Maxim Chuprunov
©
© 2012
2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
TITEL bearbeiten
(SAP_ALL) Demos
 Click to edit Master text styles
 Second level
 Third level
 Fourth level
 Fifth level
©
© 2012
2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
TITEL bearbeiten
ABAP
Command Injection
Funktionale
des Befehls
INSERT REPORT
 Click to Analyse
edit Master
text styles
1. Auswirkungen
 Second levelauf die Authorization Trace
2. Auswirkungen
 Third levelauf einem Produktivsystem
3. Modifikation
des level
SAP Standards
 Fourth
 Fifth level
DEMO
©
© 2012
2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
TITEL bearbeiten
Quiz
 Click to edit Master text styles
 Second level
Was ist der kürzeste Weg
 Third level
 Fourth level
mittels
ABAP Code
 Fifth level
SAP_ALL Berechtigung
zu erhalten?
©
© 2012
2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
TITEL bearbeiten
Lösung
56Click
to edit Master text styles
Zeichen
 Second level
UPDATE usrbf2 SET bname = sy-uname
 Third level
WHERE bname = '????'.
 Fourth level
 Fifth level
54 Zeichen
UPDATE usrbf2 SET bname = 'BOND'
WHERE bname = '????'.
©
© 2012
2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
TITEL bearbeiten
Vielen
Dank für Ihr Interesse
 Click to edit Master text styles
 Second level
 Third level
 Fourth level
 Fifth level
©
© 2012
2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
TITEL bearbeiten
Haben Sie noch Fragen?
 Click to edit Master text styles
 Second level
 Third level
VIRTUALFORGE GmbH
 Fourth level
[email protected]
 Fifth level
Speyerer Straße 6
69115 Heidelberg
Deutschland
Telefon: + 49 (0) 6221 86 89 0 - 0
Fax:
+ 49 (0) 6221 86 89 0 – 101
Twitter: @codeprofiler
©
© 2012
2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
TITEL bearbeiten
Disclaimer
Dieser
Vortrag
demonstriert
 Click
to edit
Master Sicherheitsrisiken
text styles in der Sprache ABAP.
 Second level
 Third level
Wenn bestimmte
Sicherheitsfehler in ABAP möglich sind, bedeutet dies
 Fourth
level
nicht zwangsläufig
, dass
diese im SAP Standard Code vorhanden sind.
 Fifth level
Virtual Forge hat allerdings sämtliche hier beschriebenen Fehler in
Eigenentwicklungen bei SAP Kunden entdeckt.
Virtual Forge rät ausdrücklich von Reisen in das Bermuda Dreieck ab.
©
© 2012
2011 Virtual Forge GmbH | www.virtualforge.com | All rights reserved.
Zugehörige Unterlagen
Flexibilitätsprodukte an der EEX
Flexibilitätsprodukte an der EEX
IMG
IMG
Versorgungssicherheit – werden die Märkte unterschätzt?
Versorgungssicherheit – werden die Märkte unterschätzt?
Marktdesign und Systemsicherheit
Marktdesign und Systemsicherheit
Insuma GmbH
Insuma GmbH
Virtual Design Center MSWORD 817 KB 27.09.2016 Herunterladen
Virtual Design Center MSWORD 817 KB 27.09.2016 Herunterladen
Reliable SAP Applications - Virtual
Reliable SAP Applications - Virtual
PDF Lesen Sie diesen Artikel auch
PDF Lesen Sie diesen Artikel auch
IBM Cognos Business Intelligence V10.1 IBM Cognos
IBM Cognos Business Intelligence V10.1 IBM Cognos
bi-mit-ssrs-onlineversion
bi-mit-ssrs-onlineversion
Infektionsprävention
Infektionsprävention
System Center 2012 R2 Update
System Center 2012 R2 Update
Newsletter August 2016
Newsletter August 2016
Entwicklung einer Forschungsethik für die interdisziplinäre
Entwicklung einer Forschungsethik für die interdisziplinäre
Marketing - syracom AG
Marketing - syracom AG
engel für tiere
engel für tiere
ZUM PDF - Serranetga
ZUM PDF - Serranetga
„TivSeg Simulator“ mit dem GOLC Award 2016 ausgezeichnet
„TivSeg Simulator“ mit dem GOLC Award 2016 ausgezeichnet
FITformer REG 2.0 Der anpassungsfähige
FITformer REG 2.0 Der anpassungsfähige
Link Management 145 kb
Link Management 145 kb
Urheberrecht
Urheberrecht
Style your Sound
Style your Sound
Herunterladen
Werbung