* एसएपी * त्रुटी कोड आणि संदेश कसे शोधायचे?
अंमलबजावणी केलेल्या कंपन्यांनी * एसएपी * उत्पादनांनी समाधानाच्या क्लायंटच्या शुद्धीकरणावर मोठ्या प्रमाणात संसाधने खर्च केली आहेत. तथापि, हे विकास आपल्या व्यवसायाच्या प्रक्रियेत अतिरिक्त जोखीम सादर करतात का? * एसएपी * पुरवलेल्या कोडच्या मॅन्युअल ऑडिटच्या माध्यमातून आणि विविध भेद्यासाठी त्याच्या उत्पादनांच्या सांख्यिकीय आणि गतिशील विश्लेषणांसाठी सर्वाधिक आधुनिक तंत्रज्ञान वापरण्यासाठी त्याच्या अनुप्रयोगांमध्ये कोडची गुणवत्ता हमी देते.
सॅबरचकेन विद्यापीठात (जर्मनी) विद्यापीठात एक अभ्यास केला गेला होता, जो सर्वात आधुनिक सांख्यिकीय विश्लेषण साधनेसह * एसएपी * उत्पादन कोड (ई-कॉमर्स सोल्यूशन्स) विश्लेषित करणे होते. पुढीलप्रमाणे निष्कर्ष - कोडची गुणवत्ता खूपच जास्त आहे.
* एसएपी * सॉफ्टवेअर कोड मॅन्युअल आणि स्वयंचलित विश्लेषण, हजारो विशेष चाचणी प्रकरणे बंद करते. क्लायंट कोड बर्याचदा पूर्णपणे विश्लेषण केला जाऊ शकत नाही, विशेषत: कडक प्रकल्प मुदतीच्या चेहर्यावर. आपल्या सिस्टमवर क्लायंट कोडची गुणवत्ता विचारात घेण्यासारखे आहे.
* एसएपी * सिस्टम सिस्टम स्तरावर व्यवसाय करणे तसेच क्रियाकलापांचे विश्लेषण आणि विश्लेषणे सुलभ करते. परंतु जर कंपनीच्या प्रोग्राम कोडमध्ये * एसएपी * त्रुटी असतील तर त्या प्रोग्रामच्या योग्य ऑपरेशनसाठी आणि त्यानुसार व्यवसायासाठी त्वरित दुरुस्त करणे आवश्यक आहे.
हे समजणे महत्वाचे आहे की वापरकर्ता अधिकृतता तपासणे महत्वाचे आहे (बर्याच उपक्रमांसाठी सॅप * सुरक्षा) या प्रकारच्या त्रुटींचा वापर प्रतिबंधित करण्यात मदत होणार नाही, कारण वापरकर्ता कोडमधील त्रुटींचा वापर करीत असलेल्या प्राधिकरणाच्या पलीकडे आहे .
चला क्लायंट कोडमध्ये उपस्थित असलेल्या त्रुटींचा विचार करूया.
कोड इंजेक्शन
ओवेहास्ट वर्गीकरणानुसार राखीव कोड इंजेक्शन सर्वात सामान्य आणि सर्वात धोकादायक भेद्यता आहे. Openssl hartleded आणि eBay हॅक समावेश सर्वात सुप्रसिद्ध भेद्यता, अनधिकृतपणे डावीकडे वापरकर्ता कार्यक्रम मध्ये वापरकर्ता इनपुट संबंधित आहेत.
अशा चुका धोका असुरक्षित कार्यक्रमांच्या अंमलबजावणीच्या व्यावहारिकदृष्ट्या अप्रत्याशित परिणामांमध्ये आहे. एसक्यूएल कोडचे इंजेक्शनचे परिणाम संकेतशब्दांचे लीक आणि सर्व सिस्टम डेटाचे संपूर्ण काढण्याची दोन्ही असू शकते.
अशा कमकुवततेसह अतिरिक्त समस्या स्वयंचलित साधने शोधण्यात अडचण आहे. चुकीच्या स्वरूपाच्या मोठ्या संख्येने चुकीच्या संख्येमुळे नियम आणि नमुनेांवर आधारित शोध सकारात्मक परिणाम देणार नाही.
चुका शोधण्याचा एक प्रभावी मार्ग म्हणजे प्रोग्राममध्ये प्रवेश करणार्या डेटा प्रवाहाचे स्थिर विश्लेषण असू शकते. डेटा फ्लोचा स्थिर विश्लेषण आपल्याला कोड इंजेक्शन कमकुवततेच्या उपस्थिती किंवा अनुपस्थितीबद्दल संभाव्य धोकादायक गुणधर्मांवर कोणता डेटा आहे ते शोधून काढण्यास अनुमती देतो.
निर्देशिका ट्रॅव्हर्सल
आणखी एक धोकादायक प्रोग्रामिंग त्रुटी अनपेक्षितपणे इनपुट स्पूफिंग सोडत आहे, जी निर्देशिका ट्रॅव्हर्सल परवानगी देते.
या कमकुवततेला शोषण करणार्या आक्रमणकर्त्याने पूर्वनिर्धारित निर्देशिकेच्या बाहेर डेटा वाचण्याची किंवा लिहिण्याची क्षमता मिळविली आहे. अशा प्रकारे, महत्त्वपूर्ण सिस्टम सेटिंग्ज वाचल्या जाऊ शकतात किंवा संरचना फायली ओव्हरराइट केल्या जाऊ शकतात, जी बर्याच काळासाठी सिस्टम अक्षम करू शकतात.
ही त्रुटी वापरण्यासाठी बरेच विशिष्ट पर्याय आहेत. उदाहरणार्थ, ओपन डेटासेट डीएसटी फिल्टरमध्ये एक कॉल, जे वाचण्यासाठी फाइल उघडते, युनिक्स सिस्टमवर फाइलमधून डेटा पुरवते जे पूर्वनिर्धारित प्रक्रियेत अनपेक्षित क्रिया करू शकते.
अशा प्रकारे, चुकीचा ओएस कॉन्फिगरेशन आणि असुरक्षित कोड ज्यामध्ये त्रुटी नसतात ते एकत्रितपणे कार्य करताना गंभीर परिणाम होऊ शकतात.
अधिकृतता त्रुटी
आपल्या प्रोग्रामर्सना त्यांचे अर्ज विकसित करताना प्राधिकरणाच्या संकल्पनेद्वारे मार्गदर्शन केले जातात? या संकल्पनेनुसार, प्रोग्रामच्या कोणत्याही फंक्शन ब्लॉकमध्ये प्रवेश अन्यथा निर्दिष्ट होईपर्यंत नकार दिला पाहिजे.
दुर्दैवाने, बर्याच प्रकल्पांवर, व्यवहाराच्या पातळीवर प्रवेश नियंत्रण आढळते, जे प्रतिबंधित माहितीवर प्रवेश करण्यासाठी विविध विद्यमान परवानग्या एकत्र करणे शक्य करते. उदाहरणार्थ, व्यावहारिक प्रवेश नियंत्रण सह कॉल स्टेटमेंट (जे मोठ्या प्रमाणावर विकासक वापरली जाते) प्रकल्प वापरत असुरक्षित आहे. अधिकाऱ्याकडे-तपासणी न करता, कॉल स्टेटमेंट आपण कोणत्याही इतर व्यवहार शाखेत करण्यास अनुमती देते.
तो एक अधिकृतता चेक आहे की शक्य आहे, पण तो चुकीचा केले होते. अशा परिस्थितीत आढळतात आणि दुरुस्त करणे आवश्यक आहे.
Backdoors
त्यापूर्वी, आम्ही असुरक्षिततेच्या काही प्रकरणांवर पाहिले, जेव्हा प्रोग्रामरने अनपेक्षित चुका केल्या, तेव्हा कोड असुरक्षित बनला. तथापि, जेव्हा प्रोग्रामर काही वापरकर्त्यांसाठी प्रोग्राम अंमलबजावणी प्रवाह दर्शवितो (अनियंत्रित वैशिष्ट्ये) प्रोग्राममने जाणूनबुजून, किंवा तथाकथित बॅकडोअर सोडत नाही, जे आपल्याला सिस्टमद्वारे सेट केलेल्या सर्व चेक बायपास करण्याची परवानगी देते.
एक विकसक दुर्भावनायुक्त हेतूशिवाय एक गुप्तचर तयार करू शकतो, जसे की अंमलबजावणी प्रकल्पावर अधिक कार्यक्षमतेने कार्य करण्यासाठी * _all प्राधिकरण प्राप्त करणे. स्पष्टपणे, हे backdoors उपस्थिती परिचय की जोखीम पासून तो अडथळा नाही.
अशा प्रकारच्या गुप्त गोष्टींचे अनेक उदाहरण आहेत जे सहजपणे कॉपी केले जाऊ शकते आणि उत्पादन प्रणालीमध्ये हस्तांतरित केले जाऊ शकते. मोठ्या प्रमाणावर क्लायंट कोडच्या मोठ्या प्रमाणावर, आणि * एसएपी * प्रोग्रामिंग भाषेच्या विशिष्टतेमुळे, अनधिकृत वैशिष्ट्ये आणि बॅकडोअरची उपस्थिती पकडणे फार कठीण आहे. एबीएपी आपल्याला फ्लाय वर कोड अंमलात आणण्याची आणि डीबीएमएसमध्ये साठवली जाते, ती खूप खोल लपविली जाऊ शकते.
* एसएपी * त्रुटी कशी शोधावी?
कोडमध्ये भेद्यता शोधण्यासाठी अनेक भिन्न मार्ग आहेत, सर्वात प्रगत स्थिर डेटा फ्लो विश्लेषण आहे.
* एसएपी * नेटवेव्हर म्हणून एक मॉड्यूल आहे जो उपस्थिती किंवा कमकुवतपणाची अनुपस्थिती (कोड कमकुवतता विश्लेषण) च्या अनुपस्थितीचे विश्लेषण करते. प्रमाणित पार्टनर सोल्युशन्स आहेत जे आपल्याला कमकुवततेसाठी अनुप्रयोग कोड स्कॅन करण्यास परवानगी देतात.
* एसएपी * कोड कमकुवतता विश्लेषण (सीव्हीए) कोड निरीक्षक साधनावर आधारित आहे, जे बर्याच वर्षांपासून संभाव्य धोकादायक रचना तयार करण्यासाठी क्लायंट कोड तपासण्यात सक्षम आहे, परंतु कोड इंस्पेक्टर विपरीत, त्याच्या कामात डेटा फ्लो विश्लेषण वापरते. प्रकल्पाच्या पहिल्या टप्प्यापासून सीव्हीए वापरण्याची सर्वात जास्त फायदेशीर आहे - एक सौ डेव्हलपमेंट स्टेज (लँडस्केपसह विकास पुढे हस्तांतरित करण्यापूर्वी), नंतर दुरुस्त केल्यापासून (उदाहरणार्थ, उत्पादक ऑपरेशन दरम्यान) अधिक क्लिष्ट आणि महाग आहे.
सीव्हीएचा परिचय केवळ त्रुटीच शोधत नाही आणि निराकरण करीत नाही तर एंटरप्राइझमधील विकास मानकांकरिता खूप दृष्टिकोन बदलत आहे.
उत्पादन प्रणालीमध्ये कोणत्याही नवीन विकासाची ओळख अधिकृत करणे आवश्यक आहे जे त्याच्या कामात सर्वात आधुनिक विकास विश्लेषण साधनेद्वारे मार्गदर्शित केले पाहिजे.
चुका शोधण्याचा एक मार्ग म्हणजे एक साधन आहे. प्रत्येकास हे माहित नाही की * एसएपी * मध्ये एक दशलक्ष त्रुटी संदेश आहेत. आपण कोणत्याही त्रुटी कोड आणि * एसएपी * संदेश द्रुतपणे शोधण्यासाठी या साधे आणि सर्वात महत्वाचे विनामूल्य साधन वापरू शकता.
ए * एसएपी * एएनआर * एरर कोड जसे की संबंधित * एसएपी * त्रुटी संदेश शोधण्यासाठी समर्पित विंडोमध्ये प्रवेश करणे आवश्यक आहे.
वारंवार विचारले जाणारे प्रश्न
- डिरेक्टरी ट्रॅव्हर्सल म्हणजे काय?
- डिरेक्टरी ट्रॅव्हर्सलला अनुमती देण्यासाठी अनवधानाने इनपुट स्पूफ्ड सोडण्याविषयी ही प्रोग्रामिंग त्रुटी * एसएपी * आहे. हे गंभीर सिस्टम सेटिंग्ज वाचू शकते किंवा कॉन्फिगरेशन फायली अधिलिखित करू शकते, जे बर्याच काळासाठी सिस्टमला खाली आणू शकते.
- * एसएपी * त्रुटी कोड आणि संदेशांच्या समस्यानिवारणासाठी प्रभावी पद्धती काय आहेत?
- समस्यानिवारण * एसएपी * त्रुटी कोड आणि संदेशांमध्ये प्रभावीपणे * एसएपी * समर्थन पोर्टल वापरणे, * एसएपी * दस्तऐवजीकरण सल्लामसलत करणे आणि अंतर्दृष्टी आणि समाधानासाठी * एसएपी * वापरकर्त्यांसह गुंतणे समाविष्ट आहे.