Bagaimana mencari SAP kode kesalahan dan pesan?

Perusahaan yang telah menerapkan SAP produk telah menghabiskan sejumlah besar sumber daya pada penyempurnaan klien solusi. Namun, melakukan perkembangan ini memperkenalkan risiko tambahan ke dalam proses bisnis Anda? SAP menjamin kualitas kode dalam aplikasi melalui audit manual dari kode yang disediakan dan penggunaan mekanisme yang paling modern untuk analisis statistik dan dinamis dari produk-produknya untuk berbagai kerentanan.

Sebuah penelitian dilakukan di Universitas Saarbrücken (Jerman), yang tujuannya adalah untuk menganalisis SAP kode produk (solusi e-commerce) dengan sebagian besar alat analisis statistik modern. Kesimpulan adalah sebagai berikut - kualitas kode yang cukup tinggi.

SAP kode software mengalami manual dan analisis otomatis, ribuan kasus tes khusus. kode klien sering tidak dapat sepenuhnya dianalisis, terutama dalam menghadapi tenggat waktu proyek yang ketat. Ini perlu mengingat kualitas kode klien pada sistem Anda.

Sistem SAP menyederhanakan melakukan bisnis di tingkat sistem, serta melakukan analisis dan analisis kegiatan. Tetapi jika ada kesalahan SAP dalam kode program perusahaan, maka mereka harus segera diperbaiki untuk operasi program yang benar dan, oleh karena itu, bisnis.

Hal ini penting untuk memahami bahwa otorisasi pengecekan pengguna (sinonim untuk SAP keamanan untuk banyak perusahaan) tidak akan membantu mencegah penggunaan semacam ini kesalahan, karena pengguna menggunakan kesalahan dalam kode adalah di luar kewenangan didefinisikan oleh administrator sistem .

Mari kita mempertimbangkan kesalahan yang mungkin ada dalam kode klien.

kode injeksi

Kode Reserved injeksi adalah salah satu yang paling umum dan paling kerentanan berbahaya menurut klasifikasi OWASP. Sebagian besar kerentanan terkenal, termasuk OpenSSL Heartbleed dan hack Ebay, terkait dengan input pengguna secara tidak sengaja meninggalkan menyuntikkan ke dalam program.

Bahaya kesalahan tersebut terletak pada hasil praktis tak terduga dari pelaksanaan program rentan. Hasil suntikan kode SQL dapat menjadi kebocoran password dan penghapusan lengkap dari semua data sistem.

Masalah tambahan dengan kerentanan tersebut adalah sulitnya menemukan mereka dengan alat otomatis. Cari berdasarkan aturan dan pola tidak akan memberikan hasil yang positif karena jumlah besar asumsi dirumuskan keliru.

Satu-satunya cara benar-benar efektif untuk menemukan kesalahan dapat analisis statis dari aliran data yang masuk program. analisis statis aliran data memungkinkan Anda untuk melacak data yang apa yang akan poin berpotensi berbahaya dari asumsi tentang ada atau tidak adanya kerentanan kode injeksi.

Direktori traversal

kesalahan lain pemrograman berbahaya secara tidak sengaja meninggalkan masukan spoofing, yang memungkinkan direktori traversal.

Seorang penyerang yang mengeksploitasi kerentanan ini keuntungan kemampuan untuk membaca atau menulis data di luar direktori yang sudah ditentukan. Dengan demikian, pengaturan sistem kritis dapat dibaca atau file konfigurasi ditimpa, yang dapat menonaktifkan sistem untuk jangka waktu yang cukup lama.

Ada pilihan cukup spesifik untuk menggunakan kesalahan ini. Misalnya, panggilan ke membuka dataset pernyataan dset FILTER iv_filter, yang membuka file untuk membaca, pada Unix pasokan sistem data dari file yang sedang dibaca untuk proses yang telah ditetapkan yang dapat melakukan tindakan tak terduga pada tingkat sistem operasi.

Dengan demikian, tidak benar OS konfigurasi dan kode rentan yang tidak memiliki kesalahan secara terpisah dapat mengakibatkan konsekuensi yang penting ketika bekerja bersama-sama.

kesalahan otorisasi

Apakah programmer Anda dipandu oleh konsep otoritas ketika mengembangkan aplikasi mereka? Menurut konsep ini, akses ke setiap blok fungsi dari sebuah program harus ditolak sampai dinyatakan sebaliknya.

Sayangnya, pada banyak proyek, kontrol akses terjadi pada tingkat transaksi, yang memungkinkan untuk menggabungkan berbagai perizinan yang ada untuk akses dilarang informasi. Misalnya, menggunakan pernyataan PANGGILAN TRANSAKSI (yang banyak digunakan oleh pengembang) pada proyek-proyek dengan kontrol akses transaksional tidak aman. Tanpa DENGAN OTORITAS-LIHAT, pernyataan PANGGILAN TRANSAKSI memungkinkan Anda untuk cabang melalui transaksi lainnya.

Hal ini juga mungkin bahwa ada pemeriksaan otorisasi, tapi itu dilakukan secara tidak benar. kasus tersebut juga perlu ditemukan dan diperbaiki.

Backdoors.

Sebelum itu, kami melihat beberapa kasus kerentanan, ketika programmer membuat kesalahan yang tidak disengaja, sebagai akibat dari mana kode menjadi rentan. Namun, ada juga kasus ketika programmer sengaja mengubah aliran eksekusi program untuk pengguna tertentu (fitur tidak berdokumen), atau tidak meninggalkan apa yang disebut backdoor sama sekali, yang memungkinkan Anda untuk memotong semua cek yang ditetapkan oleh sistem.

Pengembang dapat membuat backdoor tanpa tujuan jahat, seperti mendapatkan SAP _SALL otoritas untuk bekerja lebih banyak efisien pada proyek implementasi. Jelas, ini tidak mengurangi risiko bahwa adanya backdoor memperkenalkan.

Ada banyak contoh backdoors seperti itu di web yang dapat dengan mudah disalin dan ditransfer ke sistem produksi. Sangat sulit untuk menangkap keberadaan fitur dan backdoor yang tidak berdokumen, pertama, karena sejumlah besar kode klien, dan kedua, karena kekhasan bahasa pemrograman SAP. ABAP memungkinkan Anda untuk mengeksekusi kode dengan cepat dan disimpan di DBMS, yaitu, dapat disembunyikan sangat, sangat dalam.

Bagaimana cara menemukan SAP kesalahan?

Ada beberapa cara berbeda untuk menemukan kerentanan dalam kode, yang paling maju adalah analisis aliran data statis.

SAP NETWEAVER AS memiliki modul yang menganalisis aliran data untuk ada atau tidak adanya kerentanan (analisis kerentanan kode). Ada solusi mitra bersertifikat yang memungkinkan Anda memindai kode aplikasi untuk kerentanan.

* Analisis kerentanan Kode SAP didasarkan pada alat inspektur kode, yang telah dapat memeriksa kode klien untuk konstruksi yang berpotensi berbahaya selama bertahun-tahun, tetapi tidak seperti Inspektur Kode, ia menggunakan analisis aliran data dalam pekerjaannya. Ini paling bijaksana untuk menggunakan CVA dari tahap pertama proyek - satu ratus tahap pengembangan (sebelum pengembangan ditransfer lebih jauh di sepanjang lanskap), karena membuat koreksi nanti (misalnya, selama operasi produktif) lebih rumit dan mahal.

Pengenalan CVA menyiratkan tidak hanya menemukan dan memperbaiki kesalahan, tetapi juga mengubah pendekatan standar pengembangan di perusahaan.

Pengenalan setiap pembangunan baru ke dalam sistem produksi harus diotorisasi oleh seorang ahli yang dibimbing dalam karyanya oleh alat analisis pembangunan yang paling modern.

Salah satu cara untuk menemukan kesalahan adalah alat seperti itu. Tidak semua orang sadar bahwa SAP berisi lebih dari satu juta pesan kesalahan. Anda dapat menggunakan alat gratis yang sederhana dan paling penting ini untuk dengan cepat menemukan kode kesalahan dan SAP pesan.

A SAP Kode kesalahan seperti AA729 atau kata kunci seperti aset harus dimasukkan ke jendela khusus untuk menemukan semua pesan kesalahan * getah *.

Pertanyaan Yang Sering Diajukan

Apa arti traversal direktori?

Ini adalah kesalahan pemrograman SAP tentang secara tidak sengaja meninggalkan input spoofed untuk memungkinkan traversal direktori. Ini dapat membaca pengaturan sistem kritis atau menimpa file konfigurasi, yang dapat menurunkan sistem untuk jangka waktu yang cukup lama.

Apa metode yang efektif untuk pemecahan masalah SAP kode kesalahan dan pesan?

Pemecahan Masalah SAP Kode kesalahan dan pesan secara efektif melibatkan penggunaan SAP mendukung portal, konsultasi SAP dokumentasi, dan terlibat dengan SAP komunitas pengguna untuk wawasan dan solusi.