ABAP程序中的七大危险漏洞

xinkede · 发表于 2010-7-27 11:17

上面这些，只是选择了ABAP程序漏洞中一小部分进行了介绍。大部分都是因编程疏忽、单纯无知的错误或恶意代码而引起的程序漏洞。这些程序漏洞，能够通过仔细的逐行的代码检查来发现。然而，通过人工进行代码检查可是相当耗时的，因为，一个公司里定制开发的ABAP代码库中会有成千上万行的ABAP代码！

如前所述，大约80%的SAP客户都有自己定制开发的程序。这些程序大部分都是用ABAP或WebDynpro 来开发。这些定制开发过程中的质量保证流程通常只是在将程序发布到生产环境前，进行功能性的质量检查。而对跨站脚本、未授权检查、SQL注入等安全漏洞方面进行的检查，却大部分都没有进行过。

一些客户会希望通过一些黑盒测试来发现大部分关键的安全漏洞。但是，黑盒测试只能确认一部分问题。

广告内容删除！

[ 本帖最后由 xinkede 于 2010-7-27 15:08 编辑 ]

xinkede · 发表于 2010-7-27 11:19

全文完。

justforregister · 发表于 2010-7-27 11:25

原帖由 xinkede 于 2010-7-27 10:58 发表
常见的ABAP漏洞

  ABAP程序的漏洞很难被标准编译器或代码分析器检测到，因为这些漏洞并不是因语法错误产生的，它们更像是普通的编程步骤或一些预置程序，这些预置可能是开发者的疏忽，也可能是开发者故意留在系统中以备以后利用。我们一起来看看这些常见ABAP程序漏洞：

SQL Injection
定义
  SQL注入是一种攻击应用服务器或web网站的方式，是通过尝试在普通用户的输入内容中嵌入SQL语句，来操纵Open SQL语句的执行内容。下面的例子演示了一个普通的SQL语句是如何被用于进行SQL注入攻击的：

正常SQL语句
SELECT * FROM table WHERE name = 'userinput'.

被攻击者用SQL注入修改后的语句
SELECT * FROM table
WHERE name = ' a'; DROP TABLE users;
         SELECT *
            FROM  table1
         WHERE name = '%''.

上面的示例中，攻击者没有输入应用或web网站的用户名，而是使用了SQL注入攻击，用红色部分嵌入SQL的文本替换了用户名。这样，SQL语句的查询结果就从简单的读取用户名与用户输入相匹配的数据，变成了先读取用户名是’a’的数据，然后再删除用户表，最后再读取表’table1’中的所有数据。攻击者已经很轻松地获取到了未授权的特定表的数据，还删除了包含所有用户信息的表。

对业务有何影响？

此漏洞会导致数据被破坏或SAP数据库中的数据被恶意篡改。这也会使公司信誉受损，并因此影响公司收益。举例说明SQL注入攻击者会做些什么事情：
攻击者使用你们公司的在线商店来购买产品。如果在付款流程中的某个web页面不够安全，攻击者用下面的语句来替换他的用户名：
a'; SELECT *
   FROM  CreditCardInfo
   WHERE name = '%'
这样，攻击者就能成功地获取了您公司所有注册用户的信用卡信息。

如何修复漏洞？
在ABAP代码中，用户输入的所有内容都应该在插入于SQL语句前进行验证和清理，以便移除伪装成用户输入的各种恶意代码和命令。

那个编程语言没这个漏洞？写文章的人有脑子不？

justforregister · 发表于 2010-7-27 11:27

原帖由 xinkede 于 2010-7-27 11:02 发表
未进行授权检查

定义
  在ABAP程序或报表程序中，能够调用SAP事务处理命令。通常，这些事务处理命令是在SAP GUI客户端中被调用的，而且需要用户拥有执行命令所必需的权限。但是，在ABAP代码中，如果开发者在调用前没有明确的进行权限检查，那么无论当前用户是否有执行权限，上面的SAP事务处理命令都会被执行。下面的例子演示了调用SAP事物处理命令而没有进行权限检查：
CALL TRANSACTION ‘SU10’.
上面这行ABAP代码调用了SAP事务处理命令’SU01’——用来集中管理维护用户的命令，却没有对当前用户是否有权执行进行检查。

对业务有何影响？
这一漏洞将导致未经授权地执行SAP事务处理命令，进而非法的访问SAP数据，甚至篡改数据。而且，机密数据丢失或公司系统被渗透，将导致客户信心下降。客户信心动摇又将会长期影响公司收益。在大部分这样的案例中，这样操作还是违反法律规定的。下面这个例子说明未进行授权检查会怎样：

一个普通用户执行上面的ABAP 程序，到了运行事务代码’SU01’那一步，这个用户本身是没有权限执行’SU01’的，但是因为这个ABAP代码没有授权检查，他现在却获得了这种权限，这样做是绝对违反法律规定的。

如何修复漏洞？
  在ABAP代码中所有调用SAP事务处理命令的地方，都需要事先进行详细的授权检查，以确认当前用户是否拥有执行此命令所必须的权限。这个修复上面ABAP代码的简单方法是，在原来的代码：
CALL TRANSACTION ‘SU10’.
增加一段AUTHORITY-CHECK代码：
AUTHORITY-CHECK OBJECT 'S_TCODE
            ID 'TCD'
            FIELD 'SU10'.
IF sy-subrc = 0.
CALL TRANSACTION 'SU10'.
ENDIF.
这样就可以在调用前确定当前用户是否有权执行。

同样，这个abap有关系吗？什么不语言不是这样？

justforregister · 发表于 2010-7-27 11:27

sb文章

xinkede · 发表于 2010-7-27 12:46

兄弟，你是否遇到什么挫折了，怎么今天火气这么大啊？

这篇文章好歹也是我费了不少力气粘贴过来的，多少也给点面子吧，上来就给个SB的评价，让我感到很难过。

文章中提到的问题，别的系统，环境中也存在，是否就证明ABAP没有问题了？如果是一个商用的软件，不管你是什么类型的系统，被爆出有这些问题，都是要打回去修改的。如果你以前开发的系统从不需要考虑这些问题，并不是说这些问题不存在，而是对程序的要求不高罢了。

有问题咱们可以心平气和的讨论，以后不希望动不动就用SB来评论别人的文章。