Falsche Lastverteilung
CODE_SCANNER ABAP Search
SAP Fiori, SAPUI5 und OData sind serverübergreifende Konzepte mit Implementierungen auf dem SAP NetWeaver AS ABAP, der SAP HANA XS Engine sowie auf der SAP Cloud Platform. Bei diesem Typ von UI-Anwendungen ist die Präsentationslogik, die im Browser läuft, von den Datenanfragen (OData-Webservices) getrennt.
Die Authentifizierung eines Anwenders erfolgt in den meisten Fällen durch die Eingabe eines Benutzernamens und dem dazugehörigen Passwort. Diese Informationen werden als user credentials bezeichnet und sollten nur dem jeweiligen Anwender bekannt sein, sodass sich kein Dritter unter einer falschen Identität Zugang zum System verschaffen kann. Wie der Passwortschutz eines Benutzers umgangen werden kann und wie Sie dies verhindern können, erfahren Sie in diesem Beitrag. Altlasten des SAP Systems Die Anmeldedaten eines Benutzers, inklusive Passwort, werden in der Datenbanktabelle USR02 gesichert. Das Passwort liegt jedoch nicht im Klartext, sondern verschlüsselt als Hashwert vor. Für jeden Benutzer gibt es jedoch nicht nur einen, sondern bis zu drei erzeugte Passwort-Hashes. Zur Berechnung dieser Werte werden verschiedene Algorithmen verwendet, von denen jedoch nur der Salted SHA1 als ausreichend sicher angesehen werden kann. Tabellenabzug USR02 Der sichere Passwort-Hash befindet sich in der fünften Spalte des abgebildeten Tabellenabzugs mit der Überschrift Kennwort-Hashwert. Das zugehörige Datenfeld der Spalte heißt PWDSALTEDHASH. Risiken durch schwache Passwort-Hashes Sie verfügen über ein gutes und funktionierendes Berechtigungskonzept, welches sicherstellt, dass keine Prozesse oder Daten manipuliert oder gestohlen werden können. Ein potenzieller Angreifer verfügt nun über die Möglichkeit Ihre Datenbank mit den Passwort-Hashes auszulesen. Die Hashwerte werden über Passwort-Cracker, die im Internet zuhauf erhältlich sind, zurückgerechnet und der Angreifer verfügt nun über eine lange Liste mit user credentials. Um Ihrem System Schaden zuzufügen sucht sich dieser nun den Benutzer mit den passenden Berechtigungen aus und führt seinen Angriff unter falscher Identität aus. Den tatsächlichen Angreifer nun zu ermitteln ist quasi unmöglich. Prüfen Sie, ob auch Ihr System angreifbar ist Ihr System generiert die schwachen Hashwerte, wenn der Profilparameter login/password_downwards_compatibility einen Wert ungleich 0 besitzt. Profilparameter login/password_downwards_compatibility.
Memory Inspector
Bevor Sie jedoch konkrete Änderungen im System vornehmen, ist sowohl eine technische als auch eine logische Analyse notwendig. Anleitungen zur technischen Analyse finden Sie in diesem Buch: Sie kann z. B. von einem System- oder Datenbankadministrator durchgeführt werden. Die logische Analyse kann nur der verantwortliche Entwickler vornehmen.
Diesen Umstand illustriert folgendes Beispiel: Auf der Applikationsebene werden z. B. Programme, Tabellen- und Felddefinitionen und Inhalte von Konfigurationstabellen in den Puffern vorgehalten. Die richtige Einstellung dieser Puffer gewährleistet, dass weniger Daten vom Datenbankserver gelesen werden müssen. Das Lesen über den Tabellenpuffer der SAPApplikationsinstanz ist etwa um den Faktor 10 bis 100 schneller als das Lesen über den Datenbankserver.
Tools wie "Shortcut for SAP Systems" ergänzen fehlende Funktionen im Bereich der SAP Basis.
Wenn Regelungen für die Standardisierung der SAP-Systeme oder Aufgaben und Prozeduren vorliegen, so müssen diese auch konsequent eingehalten werden und deren Einhaltung ebenfalls überprüft werden.
Weitere Informationen zu den SAP-Puffern und den zugehörigen SAP-Profilparameter finden Sie in den in Anhang E, »Informationsquellen«, zusammengestellten Hinweisen.