Directory Traversal หมายถึงอะไร?

นี่คือข้อผิดพลาดในการเขียนโปรแกรม SAP เกี่ยวกับการทิ้งอินพุตโดยไม่ได้ตั้งใจเพื่อให้ไดเรกทอรีเดินทางผ่าน สิ่งนี้สามารถอ่านการตั้งค่าระบบที่สำคัญหรือเขียนทับไฟล์การกำหนดค่าซึ่งสามารถทำให้ระบบลดลงเป็นระยะเวลานาน

วิธีการที่มีประสิทธิภาพสำหรับการแก้ไขปัญหา * รหัสข้อผิดพลาดและข้อความ SAP * คืออะไร?

การแก้ไขปัญหา SAP รหัสข้อผิดพลาดและข้อความอย่างมีประสิทธิภาพเกี่ยวข้องกับการใช้ SAP พอร์ทัลสนับสนุนการให้คำปรึกษา * เอกสารประกอบ SAP * และการมีส่วนร่วมกับ SAP ชุมชนผู้ใช้สำหรับข้อมูลเชิงลึกและโซลูชัน

วิธีค้นหา SAP รหัสข้อผิดพลาดและข้อความ?

2021-12-09 2024-01-11 - ERP

สารบัญ [+]

การฉีดรหัส
การสำรวจเส้นทางไดเรกทอรี
ข้อผิดพลาดการอนุญาต
ผู้กำกับ
วิธีการค้นหา SAP ข้อผิดพลาด?
คำถามที่พบบ่อย

แบ่งปัน: ✉ FB IN PIN TWEET WAPP

บริษัท ที่ดำเนินการ SAP ผลิตภัณฑ์ใช้ทรัพยากรจำนวนมากในการปรับแต่งโซลูชันของลูกค้า อย่างไรก็ตามการพัฒนาเหล่านี้นำเสนอความเสี่ยงเพิ่มเติมในกระบวนการทางธุรกิจของคุณหรือไม่? SAP รับประกันคุณภาพของรหัสในแอปพลิเคชันผ่านการตรวจสอบด้วยตนเองของรหัสที่ให้มาและการใช้กลไกที่ทันสมัยที่สุดสำหรับการวิเคราะห์เชิงสถิติและแบบไดนามิกของผลิตภัณฑ์สำหรับช่องโหว่ต่างๆ

การศึกษาดำเนินการที่ University of Saarbrücken (ประเทศเยอรมนี) วัตถุประสงค์ของการวิเคราะห์รหัสผลิตภัณฑ์ SAP (โซลูชั่นอีคอมเมิร์ซ) ด้วยเครื่องมือการวิเคราะห์ทางสถิติที่ทันสมัยที่สุด ข้อสรุปมีดังนี้ - คุณภาพของรหัสค่อนข้างสูง

SAP รหัสซอฟต์แวร์ผ่านการวิเคราะห์แบบแมนนวลและอัตโนมัตินับพันกรณีทดสอบพิเศษ รหัสลูกค้ามักจะไม่สามารถวิเคราะห์ได้อย่างสมบูรณ์โดยเฉพาะอย่างยิ่งในการกำหนดกำหนดเวลาโครงการที่แน่นหนา มันคุ้มค่าที่จะพิจารณาคุณภาพของรหัสลูกค้าในระบบของคุณ

ระบบ SAP ทำให้การทำธุรกิจง่ายขึ้นในระดับระบบรวมถึงการวิเคราะห์และการวิเคราะห์กิจกรรม แต่ถ้ามีข้อผิดพลาด SAP ในรหัสโปรแกรมของ บริษัท พวกเขาจะต้องได้รับการแก้ไขทันทีสำหรับการดำเนินการที่ถูกต้องของโปรแกรมและดังนั้นธุรกิจ

เป็นสิ่งสำคัญที่จะต้องเข้าใจว่าการตรวจสอบการอนุญาตของผู้ใช้ (คำพ้องความหมายสำหรับ SAP Security สำหรับองค์กรจำนวนมาก) จะไม่ช่วยป้องกันการใช้ข้อผิดพลาดประเภทนี้เนื่องจากผู้ใช้งานที่ใช้ข้อผิดพลาดในโค้ดอยู่นอกเหนือจากอำนาจที่กำหนดโดยผู้ดูแลระบบ .

ลองพิจารณาข้อผิดพลาดที่อาจมีอยู่ในรหัสลูกค้า

การฉีดรหัส

การฉีดโค้ดที่สงวนไว้เป็นหนึ่งในช่องโหว่ที่พบมากที่สุดและเป็นอันตรายที่สุดตามการจำแนกประเภทของ OWASP ช่องโหว่ที่รู้จักกันดีส่วนใหญ่รวมถึง OpenSSL Heartbleed และ Ebay Hack นั้นเกี่ยวข้องกับการฉีดอินพุตของผู้ใช้ที่ไม่ได้ตั้งใจในโปรแกรม

อันตรายของข้อผิดพลาดดังกล่าวอยู่ในผลลัพธ์ที่คาดเดาไม่ได้ในการดำเนินการของโปรแกรมที่มีช่องโหว่ ผลลัพธ์ของการฉีดโค้ด SQL สามารถเป็นทั้งการรั่วไหลของรหัสผ่านและการลบข้อมูลระบบทั้งหมดที่สมบูรณ์

ปัญหาเพิ่มเติมเกี่ยวกับช่องโหว่ดังกล่าวคือความยากลำบากในการค้นหาพวกเขาด้วยเครื่องมืออัตโนมัติ การค้นหาตามกฎและรูปแบบจะไม่ให้ผลลัพธ์ที่เป็นบวกเนื่องจากสมมติฐานที่ผิดพลาดจำนวนมาก

วิธีที่มีประสิทธิภาพเพียงอย่างเดียวในการค้นหาข้อผิดพลาดเท่านั้นที่สามารถวิเคราะห์แบบคงที่ของสตรีมข้อมูลที่เข้าสู่โปรแกรม การวิเคราะห์แบบคงที่ของการไหลของข้อมูลช่วยให้คุณติดตามสิ่งที่ข้อมูลจะเป็นจุดที่อาจเป็นอันตรายเกี่ยวกับการปรากฏตัวหรือไม่มีช่องโหว่การฉีดโค้ด

การสำรวจเส้นทางไดเรกทอรี

ข้อผิดพลาดการเขียนโปรแกรมที่เป็นอันตรายอีกข้อผิดพลาดจะออกจากการปลอมแปลงอินพุตโดยไม่ได้ตั้งใจซึ่งช่วยให้การสำรวจเส้นทางของไดเรกทอรี

ผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่นี้จะได้รับความสามารถในการอ่านหรือเขียนข้อมูลนอกไดเรกทอรีที่กำหนดไว้ล่วงหน้า ดังนั้นการตั้งค่าระบบที่สำคัญสามารถอ่านหรือการกำหนดค่าไฟล์ที่เขียนทับซึ่งสามารถปิดการใช้งานระบบเพื่อให้เป็นระยะเวลานาน

มีตัวเลือกที่เฉพาะเจาะจงสำหรับการใช้ข้อผิดพลาดนี้ ตัวอย่างเช่นการโทรไปยังแถลงการณ์ Open DataSet DSET ตัวกรอง IV_Filter ซึ่งเปิดไฟล์สำหรับการอ่านบนข้อมูลของระบบ Unix จากไฟล์ที่ถูกอ่านไปยังกระบวนการที่กำหนดไว้ล่วงหน้าซึ่งสามารถดำเนินการที่ไม่คาดคิดได้ในระดับระบบปฏิบัติการ

ดังนั้นการกำหนดค่าระบบปฏิบัติการที่ไม่ถูกต้องและรหัสที่มีช่องโหว่ที่ไม่มีข้อผิดพลาดแยกต่างหากสามารถนำไปสู่ผลกระทบที่สำคัญเมื่อทำงานร่วมกัน

ข้อผิดพลาดการอนุญาต

โปรแกรมเมอร์ของคุณได้รับคำแนะนำจากแนวคิดของผู้มีอำนาจเมื่อพัฒนาแอปพลิเคชันของพวกเขา? ตามแนวคิดนี้การเข้าถึงบล็อกฟังก์ชั่นใด ๆ ของโปรแกรมควรถูกปฏิเสธจนกว่าจะระบุไว้เป็นอย่างอื่น

แต่น่าเสียดายที่ในหลายโครงการควบคุมการเข้าถึงที่เกิดขึ้นในระดับการทำธุรกรรมซึ่งจะทำให้มันเป็นไปได้ที่จะรวมสิทธิ์ที่มีอยู่ต่างๆเพื่อที่จะเข้าถึงข้อมูลต้องห้าม ตัวอย่างเช่นการใช้คำสั่ง CALL ธุรกรรม (ซึ่งถูกนำมาใช้กันอย่างแพร่หลายโดยนักพัฒนา) ในโครงการที่มีการควบคุมการเข้าถึงการทำธุรกรรมจะไม่ปลอดภัย โดยไม่มีการตรวจสอบอำนาจคำสั่งธุรกรรมการโทรช่วยให้คุณสามารถสาขาผ่านธุรกรรมอื่น ๆ

นอกจากนี้ยังเป็นไปได้ว่ามีการตรวจสอบการอนุมัติ แต่มันก็ทำไม่ถูกต้อง กรณีดังกล่าวยังต้องพบและแก้ไข

ผู้กำกับ

ก่อนหน้านั้นเราดูบางกรณีของช่องโหว่เมื่อโปรแกรมเมอร์ทำผิดพลาดโดยไม่ตั้งใจซึ่งเป็นผลมาจากรหัสที่มีความเสี่ยง อย่างไรก็ตามยังมีกรณีเมื่อโปรแกรมเมอร์ทำการเปลี่ยนแปลงการดำเนินการโปรแกรมอย่างจงใจสำหรับผู้ใช้บางคน (คุณสมบัติที่ไม่มีเอกสาร) หรือไม่ปล่อยให้ backdoor ที่เรียกว่าทั้งหมดซึ่งช่วยให้คุณสามารถข้ามการตรวจสอบทั้งหมดที่กำหนดโดยระบบ

นักพัฒนาสามารถสร้าง Backdoor โดยไม่มีวัตถุประสงค์ที่เป็นอันตรายเช่นการได้รับสิทธิ์ SAP _all เพื่อทำงานมากขึ้น อย่างมีประสิทธิภาพ ในโครงการดำเนินการ เห็นได้ชัดว่าสิ่งนี้ไม่ได้เบี่ยงเบนจากความเสี่ยงที่การปรากฏตัวของแบ็คดอร์เปิดตัว

มีตัวอย่างมากมายของ Backdoors ดังกล่าวบนเว็บที่สามารถคัดลอกและถ่ายโอนไปยังระบบการผลิตได้อย่างง่ายดาย มันยากมากที่จะจับคุณลักษณะที่ไม่มีเอกสารและ backdoors แรกเนื่องจากรหัสลูกค้าจำนวนมากและประการที่สองเนื่องจากลักษณะเฉพาะของภาษา SAP การเขียนโปรแกรมภาษา ABAP ช่วยให้คุณสามารถดำเนินการรหัสในการบินและเก็บไว้ใน DBMS นั่นคือมันสามารถซ่อนอยู่ได้ลึกมาก

วิธีการค้นหา SAP ข้อผิดพลาด?

มีหลายวิธีในการค้นหาช่องโหว่ในรหัสที่ทันสมัยที่สุดซึ่งเป็นการวิเคราะห์การไหลของข้อมูลแบบคงที่

SAP NetWeaver เป็นโมดูลที่วิเคราะห์การไหลของข้อมูลสำหรับการปรากฏตัวหรือไม่มีช่องโหว่ (การวิเคราะห์ช่องโหว่รหัส) มีโซลูชันพันธมิตรที่ได้รับการรับรองที่อนุญาตให้คุณสแกนรหัสแอปพลิเคชันสำหรับช่องโหว่

* การวิเคราะห์ช่องโหว่รหัส SAP * CVA (CVA) ขึ้นอยู่กับเครื่องมือตรวจสอบรหัสซึ่งสามารถตรวจสอบรหัสไคลเอ็นต์สำหรับการสร้างที่อาจเป็นอันตรายเป็นเวลาหลายปี แต่แตกต่างจากการตรวจสอบรหัสมันใช้การวิเคราะห์การไหลของข้อมูลในการทำงานของมัน มันเป็นการสมควรที่จะใช้ CVA จากขั้นตอนแรกของโครงการ - หนึ่งร้อยขั้นตอนการพัฒนา (ก่อนการพัฒนาจะถูกถ่ายโอนต่อไปตามแนวนอน) เนื่องจากการแก้ไขในภายหลัง (เช่นการดำเนินงานในระหว่างการดำเนินงาน) มีความซับซ้อนและมีค่าใช้จ่ายสูงมากขึ้น

การแนะนำของ CVA หมายถึงไม่เพียง แต่การค้นหาและแก้ไขข้อผิดพลาด แต่ยังเปลี่ยนวิธีการพัฒนามาตรฐานในองค์กร

การแนะนำการพัฒนาใหม่ใด ๆ ในระบบการผลิตจะต้องได้รับอนุญาตจากผู้เชี่ยวชาญที่ได้รับคำแนะนำในการทำงานของเขาด้วยเครื่องมือการวิเคราะห์การพัฒนาที่ทันสมัยที่สุด

วิธีใดวิธีหนึ่งในการค้นหาข้อผิดพลาดคือเครื่องมือดังกล่าว ทุกคนไม่ทราบว่า SAP มีข้อความแสดงข้อผิดพลาดมากกว่าหนึ่งล้านข้อความ คุณสามารถใช้เครื่องมือที่เรียบง่ายและที่สำคัญที่สุดนี้เพื่อค้นหารหัสข้อผิดพลาดใด ๆ และข้อความ SAP

รหัสข้อผิดพลาด SAP เช่น AA729 หรือคำหลักเช่นจะต้องป้อนสินทรัพย์ลงในหน้าต่างเฉพาะเพื่อค้นหาข้อความแสดงข้อผิดพลาดที่เกี่ยวข้องทั้งหมด SAP

ค้นหา SAP รหัสข้อผิดพลาดและข้อความ

คำถามที่พบบ่อย

Directory Traversal หมายถึงอะไร?: นี่คือข้อผิดพลาดในการเขียนโปรแกรม SAP เกี่ยวกับการทิ้งอินพุตโดยไม่ได้ตั้งใจเพื่อให้ไดเรกทอรีเดินทางผ่าน สิ่งนี้สามารถอ่านการตั้งค่าระบบที่สำคัญหรือเขียนทับไฟล์การกำหนดค่าซึ่งสามารถทำให้ระบบลดลงเป็นระยะเวลานาน
วิธีการที่มีประสิทธิภาพสำหรับการแก้ไขปัญหา * รหัสข้อผิดพลาดและข้อความ SAP * คืออะไร?: การแก้ไขปัญหา SAP รหัสข้อผิดพลาดและข้อความอย่างมีประสิทธิภาพเกี่ยวข้องกับการใช้ SAP พอร์ทัลสนับสนุนการให้คำปรึกษา * เอกสารประกอบ SAP * และการมีส่วนร่วมกับ SAP ชุมชนผู้ใช้สำหรับข้อมูลเชิงลึกและโซลูชัน

⋞ ไม่ได้สร้างผู้จัดจำหน่ายเพื่อจัดซื้อองค์กรSAP: แก้ไขข้อผิดพลาดไม่มีการอนุญาตจำนวนเงินสำหรับลูกค้า / ผู้ขายในข้อความรหัส บริษัท F5155 ⋟

* รหัสข้อผิดพลาด SAP *, SAP ข้อความแสดงข้อผิดพลาด, ค้นหา * รหัส SAP *, SAP RESSOURCES, ง่าย SAP SYSTEM

Θ เผยแพร่ครั้งแรกใน อังกฤษ