Kako iskati SAP kod napak in sporočil?

Kako iskati SAP kod napak in sporočil?


Podjetja, ki so se izvajali SAP izdelki so porabili veliko sredstev za stranke izpopolnitev rešitev. Vendar pa imajo ti dogodki uvesti dodatna tveganja v svoje poslovne procese? SAP zagotavlja kakovost kode v svojih aplikacijah z ročnim revizij priloženim kode in uporabo najsodobnejših mehanizmov za statistične in dinamične analize svojih izdelkov za različne ranljivosti.

Študija je bila izvedena na univerzi v Saarbrücknu (Nemčija), katerega namen je bil analizirati SAP oznak izdelka (e-poslovanje rešitve) z najsodobnejšimi orodji statistične analize. Sklepi so bili naslednji - kakovost kode je precej visoka.

SAP programske kode opravi ročno in avtomatizirano analizo, na tisoče posebnih testnih primerov. Naročnik koda pogosto ni mogoče v celoti analizirati, zlasti glede na kratkih rokov projekta. To je vredno razmisliti o kakovosti kode odjemalca na vaš sistem.

Pomembno je razumeti, da je dovoljenje uporabniško preverjanje (sinonim za SAP varnosti za številna podjetja) ne bo pomagal preprečiti uporabo te vrste napak, saj uporabnik s pomočjo napak v kodi je zunaj organa, ki ga določi skrbnik sistema .

Dajmo upoštevati napake, ki so lahko prisotne v kodo odjemalca.

injekcija koda

Rezervirano injekcija koda je ena izmed najpogostejših in najbolj nevarne ranljivosti v skladu s klasifikacijo OWASP. Večina znanih ranljivosti, vključno z OpenSSL Heartbleed in Ebay kramp, so povezane z nenamerno levo uporabniški vnos za vbrizgavanje v programu.

Nevarnost takšnih napak leži v praktično nepredvidljivih rezultatov izvedbo ranljivih programov. Rezultat injekcijo kode SQL lahko tako uhajanja gesel in popolno odstranitev vseh podatkov sistema.

Dodaten problem pri teh ranljivosti je težavnost jih najti z avtomatiziranimi orodji. Iskanje na podlagi pravil in vzorcev, ne bo dala pozitiven rezultat zaradi velikega števila napačno oblikovanih predpostavk.

Edina zares učinkovit način za iskanje napak je lahko statična analiza podatkovnega toka, ki vstopa v program. Statična analiza pretoka podatkov vam omogoča sledenje, kateri podatki se bodo potencialno nevarnih točk domneve o prisotnosti ali odsotnosti ranljivosti v kodo injiciranje.

Imenik prečkanje

Druga nevarna programiranje napaka je nenamerno zapusti vhodni prevara, ki omogoča imenik prečkanje.

Napadalec, ki izkorišča to ranljivost pridobi sposobnost branja in pisanja podatkov izven vnaprej določenem imeniku. Tako lahko kritične sistemske nastavitve brati ali prepišejo konfiguracijske datoteke, ki se lahko izklopi sistem za precej dolgo časa.

Obstaja precej posebne možnosti za uporabo te napake. Na primer, pri čemer poziv k dset FILTER iv_filter izjavo OPEN CCD, ki odpre datoteko za branje, na Unix podatkov sistema potrebščine iz datoteke prebere vnaprej določen postopek, ki se lahko opravljajo nepričakovane ukrepe na ravni operacijskega sistema.

Tako je lahko napačna konfiguracija OS in ranljiva kodo, ki nimajo napak, posebej privede do kritične posledice, če delajo skupaj.

napake pri preverjanju pristnosti

Ali so vaši programerji voden s konceptom oblasti pri razvoju svoje vloge? Po tem konceptu, naj bi dostop do katere koli funkcije blok programa zanikati, dokler ni določeno drugače.

Na žalost, na številnih projektih, pojavi nadzor dostopa na ravni transakcij, ki omogoča kombiniranje različnih obstoječih dovoljenj, da bi dostop prepovedan informacij. Na primer, z izjavo CALL transakcijo (ki ga razvijalci pogosto uporablja) na projektih s transakcijsko kontrolo pristopa je varna. Brez z avtoriteto preverite, izkaz CALL TRANSAKCIJE vam omogoča, da vejo s katero koli drugo transakcijo.

Možno je tudi, da gre za preverjanje dovoljenja, vendar je bilo narejeno pravilno. Takšni primeri Prav tako je treba najti in popraviti.

Backdoors.

Pred tem smo pogledali nekatere primere ranljivosti, ko so programerji naredili nenamerne napake, zaradi česar je koda postala ranljiva. Vendar pa obstajajo tudi primeri, ko programer namerno spremeni pretok izvajanja programa za določene uporabnike (nedokumentirane funkcije), ali pa ne pušča tako imenovanega backdoor sploh, kar vam omogoča, da obidejo vse preglede, ki jih je določil sistem.

Razvijalec lahko ustvari backdoor brez zlonamernih namenov, kot je pridobitev SAP _All organ, ki bo bolj učinkovito deloval učinkovito na projektu izvajanja. Očitno to ne zmanjšuje tveganj, ki se uvajajo prisotnost backdorjev.

Obstaja veliko primerov takšnih backdorjev na spletu, ki jih je mogoče zlahka kopirati in prenesti v proizvodni sistem. Zelo težko je ujeti prisotnost nedokumentiranih funkcij in backdoors, najprej zaradi velike količine kode stranke, in drugič, zaradi posebnosti programskega jezika SAP. ABAP vam omogoča, da izvedete kodo na letenje in je shranjena v DBMS, to je, da je lahko skrita zelo, zelo globoko.

Kako najti napake SAP?

Obstaja več različnih načinov, kako najti ranljivosti v kodi, od katerih je najbolj napredno analiza statičnega pretoka podatkov.

SAP NETWEAVER kot modul, ki analizira pretok podatkov za prisotnost ali odsotnost ranljivosti (analiza ranljivosti kode). Obstajajo certificirane partnerske rešitve, ki vam omogočajo skeniranje kode aplikacije za ranljivosti.

SAP Analiza ranljivosti CODE (CVA) temelji na orodju za inšpektor kode, ki je mogel preveriti kodo odjemalca za potencialno nevarne konstrukte za več let, vendar za razliko od kodnega inšpektorja, uporablja analizo pretoka podatkov v svojem delu. To je najbolj primerno za uporabo CVA od prve faze projekta - sto faza razvoja (pred nadaljevanjem razvoja se nadaljuje po pokrajini), saj je popravke kasneje (na primer med produktivnim delovanjem) bolj zapletena in draga.

Uvedba CVA pomeni ne le iskanje in popravljanje napak, temveč tudi spreminjanje sama pristopa k razvojnim standardom v podjetju.

Uvedba kakršnega koli novega razvoja v proizvodni sistem mora pooblastiti strokovnjak, ki je v svojem delu vodil najsodobnejša orodja za razvoj analize.

Eden od načinov za iskanje napak je takšno orodje. Vsi se ne zavedajo, da SAP vsebuje več kot milijon sporočil o napakah. To preprosto in najpomembnejše brezplačno orodje lahko hitro najdete kodo napake in SAP sporočilo.

A SAP Koda napake, kot je AA729 ali ključna beseda, kot je sredstvo, je treba vnesti v namensko okno, da bi našli vse povezane sporočila o napakah SAP.





Komentarji (0)

Pustite komentar