SlideShare uma empresa Scribd logo

Schwachstellen In Sap Web Anwendungen (OWASP Germany 2009)

S
sebastianschinzel

Daten in SAP-Systemen sind oft unternehmenskritische Daten mit sehr hohem Schutzbedarf, die zunehmend über Web-Schnittstellen erreichbar sind. SAP bietet gleich mehrere Entwicklungsframeworks zur Entwicklung von eigenen Web-Anwendungen auf Basis des SAP Web Application Servers (WebAS) an. Davon zählen Business Server Pages (BSP) und Web Dynpro ABAP zu den Web-Entwicklungs-Frameworks mit der größten Verbreitung. Beide Frameworks nutzen die SAP-eigene Programmiersprache ABAP für die Entwicklung. In diesem Vortrag stelle ich vor, wie man sichere Web-Anwendungen mit BSP entwickelt. Ich zeige weiterhin, wie Entwickler gängige Web-Schwachstellen wie beispielsweise Cross Site Scripting, SQL-Injection und Cross Site Request Forgery in SAP-Web-Anwendungen verhindern können. Zu jeder Schwachstelle zeige ich ebenfalls, wie man die Schwachstellen im Laufe eines Code Audits entdecken kann.

Tecnologia
1 de 38
OWASP AppSec Germany 2009 OWASP AppSec Germany 2009 Conference http://www.owasp.org/index.php/Germany Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen Sebastian Schinzel Virtual Forge GmbH OWASP Nürnberg, 13.10.09 Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org
OWASP AppSec Germany 2009 SAP in a Nutshell Weltweit führendes Unternehmen für Geschäftssoftware Sitz in Walldorf Praktisch alle SAP-Installationen einzigartig Geschäftsanwendungen zunehmend über Web Frontends erreichbar Geschäftsanwendungen in Java oder ABAP geschrieben (plus C-API, PHP, …) OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 2
OWASP AppSec Germany 2009 ABAP in a Nutshell Existiert seit ~30 Jahren COBOL-ähnliche Syntax “gewachsene Sprache” → mehrere Programmierparadigmen vermengt DB-unabhängiger SQL-Dialekt ist integriert Code liegt selbst in Datenbank Entwicklungsumgebung ebenfalls in ABAP entwickelt OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 3
OWASP AppSec Germany 2009 ABAP und Open Source Quellcode liegt vollständig vor Kunden können Code ändern Code kopieren, umbenennen und abändern Direkt SAP-Standard-Coding ändern ABAP enthält diverse Entwicklungsframeworks Kunden erweitern Code (Customizing) Eigenentwicklungen für Geschäftsprozesse Entwicklungen von Drittanbietern OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 4
OWASP AppSec Germany 2009 Frontend-Technologien Dynpro: In ABAP geschrieben Benötigt eigenen Viewer (SAP GUI) Funktionsweise ähnlich wie X11 Internet Transaction Server (ITS) Erste Web-Technologie von SAP Noch zahlreich in Betrieb, kaum noch aktive Entwicklung OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 5
OWASP AppSec Germany 2009 Frontend-Technologien Business Server Pages (BSP) In HTML eingebettetes ABAP (ähnlich zu JSP) Mehrere Programmierparadigmen Breite Installationsbasis, auch weiterhin Neu- Entwicklungen von Kunden Web Dynpro (ABAP/Java) UI-unabhängiges Framework Entwickler kann kein eigenes HTML/JavaScript einbetten Entwickler kann typische Web-Schwachstellen weder verhindern noch verursachen OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 6
OWASP AppSec Germany 2009 Frontend-Technologien Web GUI HTML-Version von normalen Dynpros (SAP GUI) Früher im Internet Transaction Server, heute als Plugin zum SAP Web Application Server … externe Systeme, Flash, Silverlight. OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 7
OWASP AppSec Germany 2009 SAP Web Server SAP Web Application Server (Web AS): Unterstützt Single Sign On (SSO) SSO-Ticket in Cookie (MYSAPSSO2) standardmäßig für Pfad / und domain.tld ausgestellt standardmäßig weder httpOnly, noch secure Entwicklung eigener HTTP-Handler möglich BSP, Web Dynpro, WebGUI sind HTTP-Handler Konfiguration über Profilparameter (Programm RZ11) und Transaktion SICF Blacklist-Filter filtert z.B. <script und alert( :-) OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 8
OWASP AppSec Germany 2009 Agenda ABAP/BSP vs. OWASP Top 10 Business Server Pages Inline ABAP in HTML Die HTMLB-Tag-Bibliothek Open SQL Dynamisches Open SQL SQL-Injections Summary OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 9
OWASP AppSec Germany 2009 Business Server Pages (BSP) BSP im Internet erkennen: http://www.google.de/search?q=inurl:/sap/bc/bsp/ OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 10
OWASP AppSec Germany 2009 •Business Server Pages (BSP) mentor.com vodafone.com umdasch.com erco.org iom.int celesio.com sap-ag.de wlw.de pflegedienst-navigator.de beiersdorfgroup.com erecruiting-randstad.de oebb.at mybayerjob.de lieferantensuchmaschine.com salzburg-ag.at heraeus.com audi.de whirlpool.com wacker.com blanco.de volkswagen.de heidelberg.com festo.com pharma.com knorr-bremse.com vhv.de wa.gov ottopersonalsysteme.de otto.de brucepower.com skyguide.ch abb.de jetblue.com eads.com ruv.de suzukiautoco.com bsr.de holcim.com singaporepower.com kuka.de mannheim.cde kaufland.de kpmg.de gesobau.de clavis-bonn.de daad.de softsurvey.de albatha.ae euhreka.com OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 11
OWASP AppSec Germany 2009 •Business Server Pages (BSP) OWASP Top 10 Potentiell anfällig? A1 - Cross Site Scripting (XSS) Ja A2 - Injection Flaws Ja A3 - Malicious File Execution Ja A4 - Insecure Direct Object Reference Ja A5 - Cross Site Request Forgery (CSRF) Ja A6 - Information Leakage and Improper Error Handling Ja A7 - Broken Authentication and Session Management - A8 - Insecure Cryptographic Storage Ja A9 - Insecure Communications Ja A10 - Failure to Restrict URL Access Ja OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 12
OWASP AppSec Germany 2009 Business Server Pages Verhindern von Cross Site Scripting durch Encoding/Escaping in Plain-HTML-Seiten ABAP-Encoding-Funktionen (CL_HTTP_UTILITY) BSP-Seitenattribut (forceEncode) in Seiten mit HTMLB-Taglib Tag-Attribut (forceEncode) OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 13
OWASP AppSec Germany 2009 Business Server Pages – Plain HTML 1 <%@page language=”abap” %> 2 <% DATA: name TYPE string. 3 name = request->get_form_field( 'name' ). 4 %> 5 <html> 6 <head><title>Beispiel owasp.htm</title></head> 7 <p>Hello <%= name %> </p> 8 <body> 9 </body></html> OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 14
OWASP AppSec Germany 2009 Business Server Pages – Plain HTML 1 <html> 2 <head><title>Beispiel owasp.htm</title></head> 3 <body> 4 <p>Hello Open Web Application Security Project!</p> 5 </body> 6 </html> OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 15
OWASP AppSec Germany 2009 Business Server Pages – Plain HTML Cross Site Scripting Schwachstelle: http://.../owasp.htm?name=<img src= onerror=”alert(document.cookie);”> 1 <html> 2 <head><title>Beispiel owasp.htm</title></head> 3 <p>Hello <img src= onerror=”alert(document.cookie);”> </p> 4 <body> 5 </body></html> OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 16
OWASP AppSec Germany 2009 Business Server Pages – Plain HTML 1 <%@page language=”abap” %> 2 <% DATA: name TYPE string. 3 name = request->get_form_field( 'name' ). 4 name = CL_HTTP_UTILITY=>escape_html( name ). 4 %> 5 <html> 6 <head><title>Beispiel owasp.htm</title></head> 7 <p>Hello <%= name %> </p> 8 <body> 9 </body></html> OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 17
OWASP AppSec Germany 2009 Business Server Pages – Plain HTML Verhinderte Cross Site Scripting Schwachstelle: http://.../owasp.htm?name=<img src= onerror=”alert(document.cookie);”> 1 <html> 2 <head><title>Beispiel owasp.htm</title></head> 3 <p>Hello &lt;img src= onerror=”alert(document.cookie);”&gt; </p> 4 <body> 5 </body></html> OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 18
OWASP AppSec Germany 2009 Business Server Pages – Plain HTML Enkodierung von Daten über CL_HTTP_UTILITY=>escape_html( ) CL_HTTP_UTILITY=>escape_javascript( ) CL_HTTP_UTILITY=>escape_url( ) Pro: Verhindert XSS-Schwachstellen Contra: Jede einzelne Ausgabe muss entsprechend dem HTML-Kontext enkodiert werden Aufwändig, fehleranfällig OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 19
OWASP AppSec Germany 2009 Business Server Pages – Plain HTML 1 <%@page language=”abap” forceEncode=”html” 2 DATA: name TYPE string. 3 name = request->get_form_field( 'name' ). 4 %> 5 <html> 6 <head><title>Beispiel owasp.htm</title></head> 7 <p>Hello <%= name %> </p> 8 <body> 9 </body></html> OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 20
OWASP AppSec Germany 2009 Business Server Pages – Plain HTML Verhindern von Cross Site Scripting durch <%page forceEncode=”{html|url|javascript}”> Globales Encoding über Seitenattribut Alle Ausgaben werden gleich enkodiert, keine Unterscheidung zwischen HTML-Kontexten (JavaScript, URL, ...) Gegenbeispiel: <a href=”<%= request->get_form_field( 'user' ). %>”> Link</a> http://.../test.htm?user=javascript:document.write( ... OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 21
OWASP AppSec Germany 2009 Business Server Pages – HTMLB 1 <%@page language="abap" %> 2 <%@extension name="htmlb" prefix="htmlb" %> 3 <% DATA: name TYPE string. 4 name = request->get_form_field( 'name' ). %> 5 <htmlb:content design="design2003"> 6 <htmlb:page title = "HTMLB mit forceEncode"> 7 <htmlb:form> 8 <htmlb:textView text = "Hello <%= name %>" 9 design = "EMPHASIZED" /> 10 </htmlb:form> 11 </htmlb:page> 12 </htmlb:content> OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 22
OWASP AppSec Germany 2009 Business Server Pages – HTMLB name=<img src=”” onerror=”alert(document.cookie);”> OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 23
OWASP AppSec Germany 2009 Business Server Pages – HTMLB 1 <%@page language="abap" %> 2 <%@extension name="htmlb" prefix="htmlb" %> 3 <% DATA: name TYPE string. 4 name = request->get_form_field( 'name' ). %> 5 <htmlb:content design="design2003" forceEncode="ENABLED"> 6 <htmlb:page title = "HTMLB mit forceEncode"> 7 <htmlb:form> 8 <htmlb:textView text = "Hello <%= name %>" 9 design = "EMPHASIZED" /> 10 </htmlb:form> 11 </htmlb:page> 12 </htmlb:content> OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 24
OWASP AppSec Germany 2009 Business Server Pages – HTMLB name=<img src=”” onerror=”alert(document.cookie);”> OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 25
OWASP AppSec Germany 2009 Business Server Pages Verhindern von Cross Site Scripting in Plain-HTML Enkoding über Methoden (CL_HTTP_UTILITY) Aufwändig, Fehleranfällig Enkoding über Seitenattribut (forceEncode) Nicht HTML-Kontext-spezifisch, daher fehleranfällig Verhindern von Cross Site Scripting in HTMLB Tag-Attribut forceEncode standardmäßig ausgeschaltet, muss explit aktiviert werden OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 26
OWASP AppSec Germany 2009 Agenda ABAP/BSP vs. OWASP Top 10 Business Server Pages Inline ABAP in HTML Die HTMLB-Tag-Bibliothek Open SQL Dynamisches Open SQL SQL-Injections Summary OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 27
OWASP AppSec Germany 2009 Open SQL Open SQL eingebettet in ABAP Wird intern in Prepared Statements umgewandelt SQL-Statement und Benutzerdaten sauber getrennt, keine SQL-Injection möglich 1 SELECT * FROM ZCCINFO 2 INTO l_zccinfo 3 WHERE uname = l_uname 4 AND ta_date = l_date. OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 28
OWASP AppSec Germany 2009 Open SQL OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 29
OWASP AppSec Germany 2009 Dynamisches Open SQL - Beispiel OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 30
OWASP AppSec Germany 2009 Dynamisches Open SQL Interpretiert String-Literal als SQL-Statement Keine Enkodierungsfunktionen vorhanden Benutzerdaten können nicht sauber von SQL- Kommandos getrennt werden SQL-Injection wahrscheinlich, wenn Benutzerdaten in dynamisches SQL-Statement gelangen 1 SELECT (l_felder) FROM (l_table) 2 INTO l_zccinfo 3 WHERE (l_where). OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 31
OWASP AppSec Germany 2009 Dynamisches Open SQL - Beispiel OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 32
OWASP AppSec Germany 2009 Dynamisches Open SQL - Beispiel OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 33
OWASP AppSec Germany 2009 Dynamisches Open SQL OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 34
OWASP AppSec Germany 2009 Zusammenfassung Open SQL Dynamisches Open SQL führt leicht zu SQL- Injection-Schwachstellen Keine Enkodierungsfunktion vorhanden Prepared-Statement-Injection Vermeiden Sie dynamisches Open SQL in ABAP wenn immer möglich! OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 35
OWASP AppSec Germany 2009 Zusammenfassung OWASP Top 10 TODO A1 - Cross Site Scripting (XSS) √ A2 - Injection Flaws √ A3 - Malicious File Execution X A4 - Insecure Direct Object Reference X A5 - Cross Site Request Forgery (CSRF) X A6 - Information Leakage and Improper Error Handling X A7 - Broken Authentication and Session Management - A8 - Insecure Cryptographic Storage X A9 - Insecure Communications X A10 - Failure to Restrict URL Access X OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 36
OWASP AppSec Germany 2009 Zusammenfassung SAP-Web-Frontends weit verbreitet und prozessieren meist unternehmenskritische Daten Weitere SAP-Web-Frontend-Technologien: √ Business Server Pages (BSP) X Web Dynpro X Internet Transaction Server X Eigene HTTP-Handler ... BSP verlangt viel Eigenleistung für sichere Entwicklung OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 37
OWASP AppSec Germany 2009 Literatur  “Sichere ABAP-Programmierung” - SAP Press, Wiegenstein, Schumacher, Schinzel, Weidemann http://sap-press.de/2037  “SAP Documentation” http://help.sap.com/  “Secure Programming – ABAP” - SAP AG http://www.sdn.sap.com/irj/scn/index?rid=/library/uuid/17a4f828-0b01-0010-8da1  “Security Scanner für ABAP” - http://codeprofilers.com/  “Vmovie: Security Knowledge on Stage” http://secure-abap.de/media  “OWASP Top 10” OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 38

Recomendados

Rich Internet Applications
Rich Internet ApplicationsRich Internet Applications
Rich Internet ApplicationsOliver Belikan
 
MT AG Rapid Application Development mit APEX 5 (Important: latest version on ...
MT AG Rapid Application Development mit APEX 5 (Important: latest version on ...MT AG Rapid Application Development mit APEX 5 (Important: latest version on ...
MT AG Rapid Application Development mit APEX 5 (Important: latest version on ...Niels de Bruijn
 
types of SQL Joins
types of SQL Joins types of SQL Joins
types of SQL Joinsvikram rajpurohit
 
Hackmageddon stats: 4 Year of Cyber Attacks
Hackmageddon stats: 4 Year of Cyber AttacksHackmageddon stats: 4 Year of Cyber Attacks
Hackmageddon stats: 4 Year of Cyber AttacksPaolo Passeri
 
Fun with SQL
Fun with SQLFun with SQL
Fun with SQLeggyknap
 
The Evolution of Cyber Attacks
The Evolution of Cyber AttacksThe Evolution of Cyber Attacks
The Evolution of Cyber AttacksVenafi
 
Sql joins
Sql joinsSql joins
Sql joinsBerkeley
 
Types Of Join In Sql Server - Join With Example In Sql Server
Types Of Join In Sql Server - Join With Example In Sql ServerTypes Of Join In Sql Server - Join With Example In Sql Server
Types Of Join In Sql Server - Join With Example In Sql Serverprogrammings guru
 

Recomendados

Rich Internet Applications
Rich Internet ApplicationsRich Internet Applications
Rich Internet ApplicationsOliver Belikan
 
MT AG Rapid Application Development mit APEX 5 (Important: latest version on ...
MT AG Rapid Application Development mit APEX 5 (Important: latest version on ...MT AG Rapid Application Development mit APEX 5 (Important: latest version on ...
MT AG Rapid Application Development mit APEX 5 (Important: latest version on ...Niels de Bruijn
 
types of SQL Joins
types of SQL Joins types of SQL Joins
types of SQL Joinsvikram rajpurohit
 
Hackmageddon stats: 4 Year of Cyber Attacks
Hackmageddon stats: 4 Year of Cyber AttacksHackmageddon stats: 4 Year of Cyber Attacks
Hackmageddon stats: 4 Year of Cyber AttacksPaolo Passeri
 
Fun with SQL
Fun with SQLFun with SQL
Fun with SQLeggyknap
 
The Evolution of Cyber Attacks
The Evolution of Cyber AttacksThe Evolution of Cyber Attacks
The Evolution of Cyber AttacksVenafi
 
Sql joins
Sql joinsSql joins
Sql joinsBerkeley
 
Types Of Join In Sql Server - Join With Example In Sql Server
Types Of Join In Sql Server - Join With Example In Sql ServerTypes Of Join In Sql Server - Join With Example In Sql Server
Types Of Join In Sql Server - Join With Example In Sql Serverprogrammings guru
 
APEX 5.0, und sonst?
APEX 5.0, und sonst?APEX 5.0, und sonst?
APEX 5.0, und sonst?Niels de Bruijn
 
Gewinnung von OPEN SOURCE Techniken für junge Unternehmen
Gewinnung von OPEN SOURCE Techniken für junge UnternehmenGewinnung von OPEN SOURCE Techniken für junge Unternehmen
Gewinnung von OPEN SOURCE Techniken für junge UnternehmenBjoern Reinhold
 
Trivadis TechEvent 2016 APEX Applikationen auf Wolke 7 von Andrej Gorodetsky ...
Trivadis TechEvent 2016 APEX Applikationen auf Wolke 7 von Andrej Gorodetsky ...Trivadis TechEvent 2016 APEX Applikationen auf Wolke 7 von Andrej Gorodetsky ...
Trivadis TechEvent 2016 APEX Applikationen auf Wolke 7 von Andrej Gorodetsky ...Trivadis
 
WS: Uhl, Lisog - Deutsche Wolke
WS: Uhl, Lisog - Deutsche WolkeWS: Uhl, Lisog - Deutsche Wolke
WS: Uhl, Lisog - Deutsche WolkeCloudOps Summit
 
Hosting Provider Summit Mai 2012
Hosting Provider Summit Mai 2012Hosting Provider Summit Mai 2012
Hosting Provider Summit Mai 2012Thomas Uhl
 
Oracle Open World 2009 Review V1.6
Oracle Open World 2009 Review V1.6Oracle Open World 2009 Review V1.6
Oracle Open World 2009 Review V1.6Torsten Winterberg
 
SPHERE.IO eCommerce as API platform - Nikolaus Kühn @ eCommerceCamp Jena 2015
SPHERE.IO eCommerce as API platform - Nikolaus Kühn @ eCommerceCamp Jena 2015SPHERE.IO eCommerce as API platform - Nikolaus Kühn @ eCommerceCamp Jena 2015
SPHERE.IO eCommerce as API platform - Nikolaus Kühn @ eCommerceCamp Jena 2015commercetools developers
 
EOSD 2012: Deutsche Wolke
EOSD 2012: Deutsche WolkeEOSD 2012: Deutsche Wolke
EOSD 2012: Deutsche WolkeThomas Uhl
 
Serverless Dev(Ops) in der Praxis
Serverless Dev(Ops) in der PraxisServerless Dev(Ops) in der Praxis
Serverless Dev(Ops) in der PraxisBATbern
 
Webcast Nr. 3 - Java Entwicklung mit der SAP Cloud Platform
Webcast Nr. 3 - Java Entwicklung mit der SAP Cloud PlatformWebcast Nr. 3 - Java Entwicklung mit der SAP Cloud Platform
Webcast Nr. 3 - Java Entwicklung mit der SAP Cloud PlatformPatric Dahse
 
Kongress Instandhaltung mit SAP 2022.pdf
Kongress Instandhaltung mit SAP 2022.pdfKongress Instandhaltung mit SAP 2022.pdf
Kongress Instandhaltung mit SAP 2022.pdfargvis GmbH
 
Webinar - ABAP Development Tools
Webinar - ABAP Development ToolsWebinar - ABAP Development Tools
Webinar - ABAP Development ToolsCadaxo GmbH
 
Die SOA Suite in der Amazon Cloud sicher betreiben
Die SOA Suite in der Amazon Cloud sicher betreiben Die SOA Suite in der Amazon Cloud sicher betreiben
Die SOA Suite in der Amazon Cloud sicher betreiben OPITZ CONSULTING Deutschland
 
Webcast SAP Cloud Platform No. 1: On-Boarding
Webcast SAP Cloud Platform No. 1: On-BoardingWebcast SAP Cloud Platform No. 1: On-Boarding
Webcast SAP Cloud Platform No. 1: On-BoardingPatric Dahse
 
Technologievergleich für RIA
Technologievergleich für RIATechnologievergleich für RIA
Technologievergleich für RIAOliver Belikan
 
Warum sap hana sql data warehousing
Warum sap hana sql data warehousingWarum sap hana sql data warehousing
Warum sap hana sql data warehousingISR Information Products AG
 
Deutsche Wolke
Deutsche WolkeDeutsche Wolke
Deutsche WolkeThomas Uhl
 
Hsps2014
Hsps2014Hsps2014
Hsps2014Thomas Uhl
 
Echtzeitanwendungen aus der Cloud - Partnervortrag vom AWS Summit
Echtzeitanwendungen aus der Cloud - Partnervortrag vom AWS SummitEchtzeitanwendungen aus der Cloud - Partnervortrag vom AWS Summit
Echtzeitanwendungen aus der Cloud - Partnervortrag vom AWS SummitAWS Germany
 
Blueprints bei E-Commerce Workloads mit AWS
Blueprints bei E-Commerce Workloads mit AWSBlueprints bei E-Commerce Workloads mit AWS
Blueprints bei E-Commerce Workloads mit AWSroot360 GmbH
 

Mais conteúdo relacionado

Semelhante a Schwachstellen In Sap Web Anwendungen (OWASP Germany 2009)

Gewinnung von OPEN SOURCE Techniken für junge Unternehmen
Gewinnung von OPEN SOURCE Techniken für junge UnternehmenGewinnung von OPEN SOURCE Techniken für junge Unternehmen
Gewinnung von OPEN SOURCE Techniken für junge UnternehmenBjoern Reinhold
 
Trivadis TechEvent 2016 APEX Applikationen auf Wolke 7 von Andrej Gorodetsky ...
Trivadis TechEvent 2016 APEX Applikationen auf Wolke 7 von Andrej Gorodetsky ...Trivadis TechEvent 2016 APEX Applikationen auf Wolke 7 von Andrej Gorodetsky ...
Trivadis TechEvent 2016 APEX Applikationen auf Wolke 7 von Andrej Gorodetsky ...Trivadis
 
WS: Uhl, Lisog - Deutsche Wolke
WS: Uhl, Lisog - Deutsche WolkeWS: Uhl, Lisog - Deutsche Wolke
WS: Uhl, Lisog - Deutsche WolkeCloudOps Summit
 
Hosting Provider Summit Mai 2012
Hosting Provider Summit Mai 2012Hosting Provider Summit Mai 2012
Hosting Provider Summit Mai 2012Thomas Uhl
 
Oracle Open World 2009 Review V1.6
Oracle Open World 2009 Review V1.6Oracle Open World 2009 Review V1.6
Oracle Open World 2009 Review V1.6Torsten Winterberg
 
SPHERE.IO eCommerce as API platform - Nikolaus Kühn @ eCommerceCamp Jena 2015
SPHERE.IO eCommerce as API platform - Nikolaus Kühn @ eCommerceCamp Jena 2015SPHERE.IO eCommerce as API platform - Nikolaus Kühn @ eCommerceCamp Jena 2015
SPHERE.IO eCommerce as API platform - Nikolaus Kühn @ eCommerceCamp Jena 2015commercetools developers
 
EOSD 2012: Deutsche Wolke
EOSD 2012: Deutsche WolkeEOSD 2012: Deutsche Wolke
EOSD 2012: Deutsche WolkeThomas Uhl
 
Serverless Dev(Ops) in der Praxis
Serverless Dev(Ops) in der PraxisServerless Dev(Ops) in der Praxis
Serverless Dev(Ops) in der PraxisBATbern
 
Webcast Nr. 3 - Java Entwicklung mit der SAP Cloud Platform
Webcast Nr. 3 - Java Entwicklung mit der SAP Cloud PlatformWebcast Nr. 3 - Java Entwicklung mit der SAP Cloud Platform
Webcast Nr. 3 - Java Entwicklung mit der SAP Cloud PlatformPatric Dahse
 
Kongress Instandhaltung mit SAP 2022.pdf
Kongress Instandhaltung mit SAP 2022.pdfKongress Instandhaltung mit SAP 2022.pdf
Kongress Instandhaltung mit SAP 2022.pdfargvis GmbH
 
Webinar - ABAP Development Tools
Webinar - ABAP Development ToolsWebinar - ABAP Development Tools
Webinar - ABAP Development ToolsCadaxo GmbH
 
Die SOA Suite in der Amazon Cloud sicher betreiben
Die SOA Suite in der Amazon Cloud sicher betreiben Die SOA Suite in der Amazon Cloud sicher betreiben
Die SOA Suite in der Amazon Cloud sicher betreiben OPITZ CONSULTING Deutschland
 
Webcast SAP Cloud Platform No. 1: On-Boarding
Webcast SAP Cloud Platform No. 1: On-BoardingWebcast SAP Cloud Platform No. 1: On-Boarding
Webcast SAP Cloud Platform No. 1: On-BoardingPatric Dahse
 
Technologievergleich für RIA
Technologievergleich für RIATechnologievergleich für RIA
Technologievergleich für RIAOliver Belikan
 
Deutsche Wolke
Deutsche WolkeDeutsche Wolke
Deutsche WolkeThomas Uhl
 
Echtzeitanwendungen aus der Cloud - Partnervortrag vom AWS Summit
Echtzeitanwendungen aus der Cloud - Partnervortrag vom AWS SummitEchtzeitanwendungen aus der Cloud - Partnervortrag vom AWS Summit
Echtzeitanwendungen aus der Cloud - Partnervortrag vom AWS SummitAWS Germany
 
Blueprints bei E-Commerce Workloads mit AWS
Blueprints bei E-Commerce Workloads mit AWSBlueprints bei E-Commerce Workloads mit AWS
Blueprints bei E-Commerce Workloads mit AWSroot360 GmbH
 

Semelhante a Schwachstellen In Sap Web Anwendungen (OWASP Germany 2009) (20)

APEX 5.0, und sonst?
APEX 5.0, und sonst?APEX 5.0, und sonst?
APEX 5.0, und sonst?
 
Gewinnung von OPEN SOURCE Techniken für junge Unternehmen
Gewinnung von OPEN SOURCE Techniken für junge UnternehmenGewinnung von OPEN SOURCE Techniken für junge Unternehmen
Gewinnung von OPEN SOURCE Techniken für junge Unternehmen
 
Trivadis TechEvent 2016 APEX Applikationen auf Wolke 7 von Andrej Gorodetsky ...
Trivadis TechEvent 2016 APEX Applikationen auf Wolke 7 von Andrej Gorodetsky ...Trivadis TechEvent 2016 APEX Applikationen auf Wolke 7 von Andrej Gorodetsky ...
Trivadis TechEvent 2016 APEX Applikationen auf Wolke 7 von Andrej Gorodetsky ...
 
WS: Uhl, Lisog - Deutsche Wolke
WS: Uhl, Lisog - Deutsche WolkeWS: Uhl, Lisog - Deutsche Wolke
WS: Uhl, Lisog - Deutsche Wolke
 
Hosting Provider Summit Mai 2012
Hosting Provider Summit Mai 2012Hosting Provider Summit Mai 2012
Hosting Provider Summit Mai 2012
 
Oracle Open World 2009 Review V1.6
Oracle Open World 2009 Review V1.6Oracle Open World 2009 Review V1.6
Oracle Open World 2009 Review V1.6
 
SPHERE.IO eCommerce as API platform - Nikolaus Kühn @ eCommerceCamp Jena 2015
SPHERE.IO eCommerce as API platform - Nikolaus Kühn @ eCommerceCamp Jena 2015SPHERE.IO eCommerce as API platform - Nikolaus Kühn @ eCommerceCamp Jena 2015
SPHERE.IO eCommerce as API platform - Nikolaus Kühn @ eCommerceCamp Jena 2015
 
EOSD 2012: Deutsche Wolke
EOSD 2012: Deutsche WolkeEOSD 2012: Deutsche Wolke
EOSD 2012: Deutsche Wolke
 
Serverless Dev(Ops) in der Praxis
Serverless Dev(Ops) in der PraxisServerless Dev(Ops) in der Praxis
Serverless Dev(Ops) in der Praxis
 
Webcast Nr. 3 - Java Entwicklung mit der SAP Cloud Platform
Webcast Nr. 3 - Java Entwicklung mit der SAP Cloud PlatformWebcast Nr. 3 - Java Entwicklung mit der SAP Cloud Platform
Webcast Nr. 3 - Java Entwicklung mit der SAP Cloud Platform
 
Kongress Instandhaltung mit SAP 2022.pdf
Kongress Instandhaltung mit SAP 2022.pdfKongress Instandhaltung mit SAP 2022.pdf
Kongress Instandhaltung mit SAP 2022.pdf
 
Webinar - ABAP Development Tools
Webinar - ABAP Development ToolsWebinar - ABAP Development Tools
Webinar - ABAP Development Tools
 
Die SOA Suite in der Amazon Cloud sicher betreiben
Die SOA Suite in der Amazon Cloud sicher betreiben Die SOA Suite in der Amazon Cloud sicher betreiben
Die SOA Suite in der Amazon Cloud sicher betreiben
 
Webcast SAP Cloud Platform No. 1: On-Boarding
Webcast SAP Cloud Platform No. 1: On-BoardingWebcast SAP Cloud Platform No. 1: On-Boarding
Webcast SAP Cloud Platform No. 1: On-Boarding
 
Technologievergleich für RIA
Technologievergleich für RIATechnologievergleich für RIA
Technologievergleich für RIA
 
Warum sap hana sql data warehousing
Warum sap hana sql data warehousingWarum sap hana sql data warehousing
Warum sap hana sql data warehousing
 
Deutsche Wolke
Deutsche WolkeDeutsche Wolke
Deutsche Wolke
 
Hsps2014
Hsps2014Hsps2014
Hsps2014
 
Echtzeitanwendungen aus der Cloud - Partnervortrag vom AWS Summit
Echtzeitanwendungen aus der Cloud - Partnervortrag vom AWS SummitEchtzeitanwendungen aus der Cloud - Partnervortrag vom AWS Summit
Echtzeitanwendungen aus der Cloud - Partnervortrag vom AWS Summit
 
Blueprints bei E-Commerce Workloads mit AWS
Blueprints bei E-Commerce Workloads mit AWSBlueprints bei E-Commerce Workloads mit AWS
Blueprints bei E-Commerce Workloads mit AWS
 

Schwachstellen In Sap Web Anwendungen (OWASP Germany 2009)

  • 1. OWASP AppSec Germany 2009 OWASP AppSec Germany 2009 Conference http://www.owasp.org/index.php/Germany Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen Sebastian Schinzel Virtual Forge GmbH OWASP Nürnberg, 13.10.09 Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org
  • 2. OWASP AppSec Germany 2009 SAP in a Nutshell Weltweit führendes Unternehmen für Geschäftssoftware Sitz in Walldorf Praktisch alle SAP-Installationen einzigartig Geschäftsanwendungen zunehmend über Web Frontends erreichbar Geschäftsanwendungen in Java oder ABAP geschrieben (plus C-API, PHP, …) OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 2
  • 3. OWASP AppSec Germany 2009 ABAP in a Nutshell Existiert seit ~30 Jahren COBOL-ähnliche Syntax “gewachsene Sprache” → mehrere Programmierparadigmen vermengt DB-unabhängiger SQL-Dialekt ist integriert Code liegt selbst in Datenbank Entwicklungsumgebung ebenfalls in ABAP entwickelt OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 3
  • 4. OWASP AppSec Germany 2009 ABAP und Open Source Quellcode liegt vollständig vor Kunden können Code ändern Code kopieren, umbenennen und abändern Direkt SAP-Standard-Coding ändern ABAP enthält diverse Entwicklungsframeworks Kunden erweitern Code (Customizing) Eigenentwicklungen für Geschäftsprozesse Entwicklungen von Drittanbietern OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 4
  • 5. OWASP AppSec Germany 2009 Frontend-Technologien Dynpro: In ABAP geschrieben Benötigt eigenen Viewer (SAP GUI) Funktionsweise ähnlich wie X11 Internet Transaction Server (ITS) Erste Web-Technologie von SAP Noch zahlreich in Betrieb, kaum noch aktive Entwicklung OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 5
  • 6. OWASP AppSec Germany 2009 Frontend-Technologien Business Server Pages (BSP) In HTML eingebettetes ABAP (ähnlich zu JSP) Mehrere Programmierparadigmen Breite Installationsbasis, auch weiterhin Neu- Entwicklungen von Kunden Web Dynpro (ABAP/Java) UI-unabhängiges Framework Entwickler kann kein eigenes HTML/JavaScript einbetten Entwickler kann typische Web-Schwachstellen weder verhindern noch verursachen OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 6
  • 7. OWASP AppSec Germany 2009 Frontend-Technologien Web GUI HTML-Version von normalen Dynpros (SAP GUI) Früher im Internet Transaction Server, heute als Plugin zum SAP Web Application Server … externe Systeme, Flash, Silverlight. OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 7
  • 8. OWASP AppSec Germany 2009 SAP Web Server SAP Web Application Server (Web AS): Unterstützt Single Sign On (SSO) SSO-Ticket in Cookie (MYSAPSSO2) standardmäßig für Pfad / und domain.tld ausgestellt standardmäßig weder httpOnly, noch secure Entwicklung eigener HTTP-Handler möglich BSP, Web Dynpro, WebGUI sind HTTP-Handler Konfiguration über Profilparameter (Programm RZ11) und Transaktion SICF Blacklist-Filter filtert z.B. <script und alert( :-) OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 8
  • 9. OWASP AppSec Germany 2009 Agenda ABAP/BSP vs. OWASP Top 10 Business Server Pages Inline ABAP in HTML Die HTMLB-Tag-Bibliothek Open SQL Dynamisches Open SQL SQL-Injections Summary OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 9
  • 10. OWASP AppSec Germany 2009 Business Server Pages (BSP) BSP im Internet erkennen: http://www.google.de/search?q=inurl:/sap/bc/bsp/ OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 10
  • 11. OWASP AppSec Germany 2009 •Business Server Pages (BSP) mentor.com vodafone.com umdasch.com erco.org iom.int celesio.com sap-ag.de wlw.de pflegedienst-navigator.de beiersdorfgroup.com erecruiting-randstad.de oebb.at mybayerjob.de lieferantensuchmaschine.com salzburg-ag.at heraeus.com audi.de whirlpool.com wacker.com blanco.de volkswagen.de heidelberg.com festo.com pharma.com knorr-bremse.com vhv.de wa.gov ottopersonalsysteme.de otto.de brucepower.com skyguide.ch abb.de jetblue.com eads.com ruv.de suzukiautoco.com bsr.de holcim.com singaporepower.com kuka.de mannheim.cde kaufland.de kpmg.de gesobau.de clavis-bonn.de daad.de softsurvey.de albatha.ae euhreka.com OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 11
  • 12. OWASP AppSec Germany 2009 •Business Server Pages (BSP) OWASP Top 10 Potentiell anfällig? A1 - Cross Site Scripting (XSS) Ja A2 - Injection Flaws Ja A3 - Malicious File Execution Ja A4 - Insecure Direct Object Reference Ja A5 - Cross Site Request Forgery (CSRF) Ja A6 - Information Leakage and Improper Error Handling Ja A7 - Broken Authentication and Session Management - A8 - Insecure Cryptographic Storage Ja A9 - Insecure Communications Ja A10 - Failure to Restrict URL Access Ja OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 12
  • 13. OWASP AppSec Germany 2009 Business Server Pages Verhindern von Cross Site Scripting durch Encoding/Escaping in Plain-HTML-Seiten ABAP-Encoding-Funktionen (CL_HTTP_UTILITY) BSP-Seitenattribut (forceEncode) in Seiten mit HTMLB-Taglib Tag-Attribut (forceEncode) OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 13
  • 14. OWASP AppSec Germany 2009 Business Server Pages – Plain HTML 1 <%@page language=”abap” %> 2 <% DATA: name TYPE string. 3 name = request->get_form_field( 'name' ). 4 %> 5 <html> 6 <head><title>Beispiel owasp.htm</title></head> 7 <p>Hello <%= name %> </p> 8 <body> 9 </body></html> OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 14
  • 15. OWASP AppSec Germany 2009 Business Server Pages – Plain HTML 1 <html> 2 <head><title>Beispiel owasp.htm</title></head> 3 <body> 4 <p>Hello Open Web Application Security Project!</p> 5 </body> 6 </html> OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 15
  • 16. OWASP AppSec Germany 2009 Business Server Pages – Plain HTML Cross Site Scripting Schwachstelle: http://.../owasp.htm?name=<img src= onerror=”alert(document.cookie);”> 1 <html> 2 <head><title>Beispiel owasp.htm</title></head> 3 <p>Hello <img src= onerror=”alert(document.cookie);”> </p> 4 <body> 5 </body></html> OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 16
  • 17. OWASP AppSec Germany 2009 Business Server Pages – Plain HTML 1 <%@page language=”abap” %> 2 <% DATA: name TYPE string. 3 name = request->get_form_field( 'name' ). 4 name = CL_HTTP_UTILITY=>escape_html( name ). 4 %> 5 <html> 6 <head><title>Beispiel owasp.htm</title></head> 7 <p>Hello <%= name %> </p> 8 <body> 9 </body></html> OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 17
  • 18. OWASP AppSec Germany 2009 Business Server Pages – Plain HTML Verhinderte Cross Site Scripting Schwachstelle: http://.../owasp.htm?name=<img src= onerror=”alert(document.cookie);”> 1 <html> 2 <head><title>Beispiel owasp.htm</title></head> 3 <p>Hello &lt;img src= onerror=”alert(document.cookie);”&gt; </p> 4 <body> 5 </body></html> OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 18
  • 19. OWASP AppSec Germany 2009 Business Server Pages – Plain HTML Enkodierung von Daten über CL_HTTP_UTILITY=>escape_html( ) CL_HTTP_UTILITY=>escape_javascript( ) CL_HTTP_UTILITY=>escape_url( ) Pro: Verhindert XSS-Schwachstellen Contra: Jede einzelne Ausgabe muss entsprechend dem HTML-Kontext enkodiert werden Aufwändig, fehleranfällig OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 19
  • 20. OWASP AppSec Germany 2009 Business Server Pages – Plain HTML 1 <%@page language=”abap” forceEncode=”html” 2 DATA: name TYPE string. 3 name = request->get_form_field( 'name' ). 4 %> 5 <html> 6 <head><title>Beispiel owasp.htm</title></head> 7 <p>Hello <%= name %> </p> 8 <body> 9 </body></html> OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 20
  • 21. OWASP AppSec Germany 2009 Business Server Pages – Plain HTML Verhindern von Cross Site Scripting durch <%page forceEncode=”{html|url|javascript}”> Globales Encoding über Seitenattribut Alle Ausgaben werden gleich enkodiert, keine Unterscheidung zwischen HTML-Kontexten (JavaScript, URL, ...) Gegenbeispiel: <a href=”<%= request->get_form_field( 'user' ). %>”> Link</a> http://.../test.htm?user=javascript:document.write( ... OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 21
  • 22. OWASP AppSec Germany 2009 Business Server Pages – HTMLB 1 <%@page language="abap" %> 2 <%@extension name="htmlb" prefix="htmlb" %> 3 <% DATA: name TYPE string. 4 name = request->get_form_field( 'name' ). %> 5 <htmlb:content design="design2003"> 6 <htmlb:page title = "HTMLB mit forceEncode"> 7 <htmlb:form> 8 <htmlb:textView text = "Hello <%= name %>" 9 design = "EMPHASIZED" /> 10 </htmlb:form> 11 </htmlb:page> 12 </htmlb:content> OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 22
  • 23. OWASP AppSec Germany 2009 Business Server Pages – HTMLB name=<img src=”” onerror=”alert(document.cookie);”> OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 23
  • 24. OWASP AppSec Germany 2009 Business Server Pages – HTMLB 1 <%@page language="abap" %> 2 <%@extension name="htmlb" prefix="htmlb" %> 3 <% DATA: name TYPE string. 4 name = request->get_form_field( 'name' ). %> 5 <htmlb:content design="design2003" forceEncode="ENABLED"> 6 <htmlb:page title = "HTMLB mit forceEncode"> 7 <htmlb:form> 8 <htmlb:textView text = "Hello <%= name %>" 9 design = "EMPHASIZED" /> 10 </htmlb:form> 11 </htmlb:page> 12 </htmlb:content> OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 24
  • 25. OWASP AppSec Germany 2009 Business Server Pages – HTMLB name=<img src=”” onerror=”alert(document.cookie);”> OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 25
  • 26. OWASP AppSec Germany 2009 Business Server Pages Verhindern von Cross Site Scripting in Plain-HTML Enkoding über Methoden (CL_HTTP_UTILITY) Aufwändig, Fehleranfällig Enkoding über Seitenattribut (forceEncode) Nicht HTML-Kontext-spezifisch, daher fehleranfällig Verhindern von Cross Site Scripting in HTMLB Tag-Attribut forceEncode standardmäßig ausgeschaltet, muss explit aktiviert werden OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 26
  • 27. OWASP AppSec Germany 2009 Agenda ABAP/BSP vs. OWASP Top 10 Business Server Pages Inline ABAP in HTML Die HTMLB-Tag-Bibliothek Open SQL Dynamisches Open SQL SQL-Injections Summary OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 27
  • 28. OWASP AppSec Germany 2009 Open SQL Open SQL eingebettet in ABAP Wird intern in Prepared Statements umgewandelt SQL-Statement und Benutzerdaten sauber getrennt, keine SQL-Injection möglich 1 SELECT * FROM ZCCINFO 2 INTO l_zccinfo 3 WHERE uname = l_uname 4 AND ta_date = l_date. OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 28
  • 29. OWASP AppSec Germany 2009 Open SQL OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 29
  • 30. OWASP AppSec Germany 2009 Dynamisches Open SQL - Beispiel OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 30
  • 31. OWASP AppSec Germany 2009 Dynamisches Open SQL Interpretiert String-Literal als SQL-Statement Keine Enkodierungsfunktionen vorhanden Benutzerdaten können nicht sauber von SQL- Kommandos getrennt werden SQL-Injection wahrscheinlich, wenn Benutzerdaten in dynamisches SQL-Statement gelangen 1 SELECT (l_felder) FROM (l_table) 2 INTO l_zccinfo 3 WHERE (l_where). OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 31
  • 32. OWASP AppSec Germany 2009 Dynamisches Open SQL - Beispiel OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 32
  • 33. OWASP AppSec Germany 2009 Dynamisches Open SQL - Beispiel OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 33
  • 34. OWASP AppSec Germany 2009 Dynamisches Open SQL OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 34
  • 35. OWASP AppSec Germany 2009 Zusammenfassung Open SQL Dynamisches Open SQL führt leicht zu SQL- Injection-Schwachstellen Keine Enkodierungsfunktion vorhanden Prepared-Statement-Injection Vermeiden Sie dynamisches Open SQL in ABAP wenn immer möglich! OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 35
  • 36. OWASP AppSec Germany 2009 Zusammenfassung OWASP Top 10 TODO A1 - Cross Site Scripting (XSS) √ A2 - Injection Flaws √ A3 - Malicious File Execution X A4 - Insecure Direct Object Reference X A5 - Cross Site Request Forgery (CSRF) X A6 - Information Leakage and Improper Error Handling X A7 - Broken Authentication and Session Management - A8 - Insecure Cryptographic Storage X A9 - Insecure Communications X A10 - Failure to Restrict URL Access X OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 36
  • 37. OWASP AppSec Germany 2009 Zusammenfassung SAP-Web-Frontends weit verbreitet und prozessieren meist unternehmenskritische Daten Weitere SAP-Web-Frontend-Technologien: √ Business Server Pages (BSP) X Web Dynpro X Internet Transaction Server X Eigene HTTP-Handler ... BSP verlangt viel Eigenleistung für sichere Entwicklung OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 37
  • 38. OWASP AppSec Germany 2009 Literatur  “Sichere ABAP-Programmierung” - SAP Press, Wiegenstein, Schumacher, Schinzel, Weidemann http://sap-press.de/2037  “SAP Documentation” http://help.sap.com/  “Secure Programming – ABAP” - SAP AG http://www.sdn.sap.com/irj/scn/index?rid=/library/uuid/17a4f828-0b01-0010-8da1  “Security Scanner für ABAP” - http://codeprofilers.com/  “Vmovie: Security Knowledge on Stage” http://secure-abap.de/media  “OWASP Top 10” OWASP AppSec Germany 2009 Conference Sichere SAP Web-Entwicklung – Sebastian Schinzel OWASP 38