Schutz vor SQL Injection in ABAP Code. Wer kann helfen?
15 Beiträge
•
Seite 1 von 1
15 Beiträge
Seite 1 von 1
Hallo zusammen!
Ich habe vor kurzem auf das Problem mit dynamischen SQL Anfragen gestoßen. Brauche eure Meinung! Wäre super, wenn ihr eure Meinung dazu sagt!
Online Befragung zum Thema http://de.surveymonkey.com/s/VC9CBVM Dauert weniger als 1 Minute!
Fragen:
-Are you an experienced SAP ABAP developer?
-Have you ever created the dynamic SQL statements within ABAP program code (open SQL)?
-In case you have created the dynamic SQL statements before, do you always use techniques that can help to avoid SQL injections (e.g. checks for dynamic SQL statements)?
-Do you think that securing of the dynamic SQL statements within ABAP program code is important?
Danke im Voraus für die Antworten!
Ich habe vor kurzem auf das Problem mit dynamischen SQL Anfragen gestoßen. Brauche eure Meinung! Wäre super, wenn ihr eure Meinung dazu sagt!
Online Befragung zum Thema http://de.surveymonkey.com/s/VC9CBVM Dauert weniger als 1 Minute!
Fragen:
-Are you an experienced SAP ABAP developer?
-Have you ever created the dynamic SQL statements within ABAP program code (open SQL)?
-In case you have created the dynamic SQL statements before, do you always use techniques that can help to avoid SQL injections (e.g. checks for dynamic SQL statements)?
-Do you think that securing of the dynamic SQL statements within ABAP program code is important?
Danke im Voraus für die Antworten!
Zuletzt geändert von aljon.ka am 17.02.2013 11:21, insgesamt 5-mal geändert.
gesponsert ⓘ
Stellenangebote auf ABAPforum.com schalten
kostenfrei für Ausbildungsberufe und Werksstudenten
kostenfrei für Ausbildungsberufe und Werksstudenten
Hallo,
ich habe jetzt keine Zeit, die Umfrage zu machen. Es gab aber auf den letzten SAP Technologietagen (DSAG) einen Vortrag dazu. Ferner gibt es Powerpoints von Virtual Forge dazu (habe solche im Netz gefunden, musst halt googeln).
Da standen auch Vermeidungsstrategien drin.
Gruß
ich habe jetzt keine Zeit, die Umfrage zu machen. Es gab aber auf den letzten SAP Technologietagen (DSAG) einen Vortrag dazu. Ferner gibt es Powerpoints von Virtual Forge dazu (habe solche im Netz gefunden, musst halt googeln).
Da standen auch Vermeidungsstrategien drin.
Gruß
Hallo,
also ich habe die Umfrage gemacht. Das die Thematik wichtig ist, zeigt ja die Behandlung auf so was wie DSAG Thementagen. Ferner gibt es eine ISSECO Zertifizierung (Sicherheit), in dem Buch zum Kurs wird das Thema behandelt (generell).
Ich bin Tester, für Tester ist es interessant, weil ggf. eine Einschränkung auf Buchungskreise oder ähnliches unterlaufen werden kann. Meiner Meinung nach ein interessantes, fortgeschrittenes Thema für Leute die Codereview machen, für Tester, für Securitybeauftragte und für Revisionisten.
Gruß
also ich habe die Umfrage gemacht. Das die Thematik wichtig ist, zeigt ja die Behandlung auf so was wie DSAG Thementagen. Ferner gibt es eine ISSECO Zertifizierung (Sicherheit), in dem Buch zum Kurs wird das Thema behandelt (generell).
Ich bin Tester, für Tester ist es interessant, weil ggf. eine Einschränkung auf Buchungskreise oder ähnliches unterlaufen werden kann. Meiner Meinung nach ein interessantes, fortgeschrittenes Thema für Leute die Codereview machen, für Tester, für Securitybeauftragte und für Revisionisten.
Gruß
Brauche ungefähr 50 Teilnehmer... Es dauert wirklich weniger als 1 Minute... Danke!
Beitrag
von a-dead-trousers (Top Expert / 4395 / 223 /
1182
)
»
Huiii ich glaub nicht, dass hier im Forum soviele aktive User sind.aljon.ka hat geschrieben:Brauche ungefähr 50 Teilnehmer...
Ich hab bereits abgestimmt. Wobei ich die Frage drei nicht mit Sicherheit beantworten konnte. Sind bei der SELECT (...) FROM (...) ... Syntax nicht insofern Checks drinnen das man keine Code Injection ala '; DROP TABLE T000; ' einfügen kann.
Oder geht es hier vielmehr um die EXEC-SQL Variante?
Oder doch um die CL_SQL_* Klassen?
lg ADT
Folgende Benutzer bedankten sich beim Autor a-dead-trousers für den Beitrag:
aljon.ka
Theory is when you know something, but it doesn't work.
Practice is when something works, but you don't know why.
Programmers combine theory and practice: Nothing works and they don't know why.
ECC: 6.18
Basis: 7.50
Practice is when something works, but you don't know why.
Programmers combine theory and practice: Nothing works and they don't know why.
ECC: 6.18
Basis: 7.50
@a-dead-trousers: Danke für die Abstimmung! Ich habe schon gemerkt, dass trotz vieler Zugriffen, es immernoch zu wenig Antworten gibt...
Du hast Recht, dass bei den OSQL Anfragen so was wie DROP TABLE nicht funktioniert (zumindest ich habe es nicht geschafft). Jedoch so was wie ' OR ID = '% problemlos geht, wenn man keine Checks macht. Natürlich kann man damit nur bestimmte Daten anschauen... Es geht hier um die Open SQL in der ersten Stelle (nicht um die EXEC-SQL oder ADBC Variante).
Ich hoffe, dass es mehr Leute abstimmen und in der Diskussion teilnehmen.
Du hast Recht, dass bei den OSQL Anfragen so was wie DROP TABLE nicht funktioniert (zumindest ich habe es nicht geschafft). Jedoch so was wie ' OR ID = '% problemlos geht, wenn man keine Checks macht. Natürlich kann man damit nur bestimmte Daten anschauen... Es geht hier um die Open SQL in der ersten Stelle (nicht um die EXEC-SQL oder ADBC Variante).
Ich hoffe, dass es mehr Leute abstimmen und in der Diskussion teilnehmen.
Ok, die Umfrage ist wirklich extrem schnell beantwortet.
Allerdings hättest Du noch ein Freitextfeld für Kommentare vorsehen sollen.
Bei dynamischem SQL ist nämlich noch interessant, wie das im Detail passiert:
Werden Usereingaben in Freitextfeldern in die Bedingungen mit eingebaut, ist es hingegen natürlich wichtig, defensiv vorzugehen (gibt mehrere Herangehensweisen).
Wird aber der Select nur anhand von Checkboxen zusammengebaut oder anhand anderer Entscheidungskriterien, ohne Freitext direkt zu übernehmen, ist das zwar ein dynamischer SQL-Zugriff, SQL-Injection sollte aber keine Rolle spielen.
Allerdings hättest Du noch ein Freitextfeld für Kommentare vorsehen sollen.
Bei dynamischem SQL ist nämlich noch interessant, wie das im Detail passiert:
Werden Usereingaben in Freitextfeldern in die Bedingungen mit eingebaut, ist es hingegen natürlich wichtig, defensiv vorzugehen (gibt mehrere Herangehensweisen).
Wird aber der Select nur anhand von Checkboxen zusammengebaut oder anhand anderer Entscheidungskriterien, ohne Freitext direkt zu übernehmen, ist das zwar ein dynamischer SQL-Zugriff, SQL-Injection sollte aber keine Rolle spielen.
@GastX: Danke für Kommentar! Du hast Recht, dass mit Checkbox das nicht passieren kann. Ich bin jetzt auf das weitere Problem gestoßen, was nun zu machen ist, wenn das Flag "Log data changes" bei der Customizing Tabelle nicht gesetzt ist und . Die erscheint nicht in der TA SCU3. Wie kann man dann die Änderungen tracen? Hm... Ich kenne mich da gar nicht aus.
Beitrag
von MarkusSchumacher (ForumUser / 1 / 0 /
0
)
»
Hi zusammen,
was hat den die Umfrage eigentlich ergeben (die geht ja wirklich schnell).
Einer unserer Vorträge bzw Artikel ist zB hier zu finden:
http://virtualforge.com/tl_files/Theme/ ... TB2011.pdf
http://www.virtualforge.com/tl_files/Th ... 18-122.pdf
Und die SAP Note 1520356 sollte man auch mal gelesen haben!
Viele Grüße,
Markus Schumacher
was hat den die Umfrage eigentlich ergeben (die geht ja wirklich schnell
).Einer unserer Vorträge bzw Artikel ist zB hier zu finden:
http://virtualforge.com/tl_files/Theme/ ... TB2011.pdf
http://www.virtualforge.com/tl_files/Th ... 18-122.pdf
Und die SAP Note 1520356 sollte man auch mal gelesen haben!
Viele Grüße,
Markus Schumacher
@Markus Schumacher: Danke für die Teilnahme. Ich habe bereits die Präsentation von Virtual Forge im Internet entdeckt. Die ist sehr informativ Leider haben bis jetzt nur 33 Personen teilgenommen. Ich werde wahrscheinlich noch auf SAP SDN etwas aktiver fragen... Gerne teile ich die vorläufige Ergebnisse mit (wobei mich vor allem diejenige interessieren, die bereits dynamische SQL Anfragen erstellt haben):
- 20 Personen haben bereits dynamische SQL Anfragen erstellt.
- 16 davon haben keine Schutzmechanismen verwendet. Hier lässt sich vermuten anhand bestimmten Kommentaren, dass es Schutz entweder nicht nötig war, da kein Feld für Benutzerangaben gab, oder was am interessantesten ist - man sieht kein Risiko dabei (9 Personen davon)...
Ansonsten 18 Personen denken, dass es wichtig ist, die Absichrung zu verwenden. Es ist schon mal positiv!
ICH HOFFE, ES WERDEN NOCH MEHR LEUTE DARAN TEILNEHMEN
Leider haben bis jetzt nur 33 Personen teilgenommen. Ich werde wahrscheinlich noch auf SAP SDN etwas aktiver fragen... Gerne teile ich die vorläufige Ergebnisse mit (wobei mich vor allem diejenige interessieren, die bereits dynamische SQL Anfragen erstellt haben):- 20 Personen haben bereits dynamische SQL Anfragen erstellt.
- 16 davon haben keine Schutzmechanismen verwendet. Hier lässt sich vermuten anhand bestimmten Kommentaren, dass es Schutz entweder nicht nötig war, da kein Feld für Benutzerangaben gab, oder was am interessantesten ist - man sieht kein Risiko dabei (9 Personen davon)...
Ansonsten 18 Personen denken, dass es wichtig ist, die Absichrung zu verwenden. Es ist schon mal positiv!
ICH HOFFE, ES WERDEN NOCH MEHR LEUTE DARAN TEILNEHMEN
Beitrag
von black_adept (Top Expert / 4087 / 126 /
940
)
»
Wofür brauchst du die Umfrage eigentlich?
Und hast du für einen Schutzmechanismus gesorgt, der verhindert, dass ein User mehrfach deine Umfrage ausfüllt?
Und hast du für einen Schutzmechanismus gesorgt, der verhindert, dass ein User mehrfach deine Umfrage ausfüllt?
@black_adept: Es wird womöglich eine interne Präsentation geben. Dafür suche ich nach mehr Informationen Und die Meinung der Experten, wie Dich, ist mir dabei sehr wichtig
Und was den Schutz bei der Umfrage, so verlasse ich mich auf SurveyMonkey
Und die Meinung der Experten, wie Dich, ist mir dabei sehr wichtigUnd was den Schutz bei der Umfrage, so verlasse ich mich auf SurveyMonkey
Seite 1 von 1
Vergleichbare Themen
0
Antw.
Antw.
1691
Views
Views
Frage die ABAP Experten
Über diesen Beitrag
Unterstütze die Community und teile den Beitrag für mehr Leser und Austausch
Aktuelle Forenbeiträge
Nach Transport von Stellen über RHMOVE30 nur Planvariante "nie verwenden"
vor 22 Stunden von DeathAndPain 4 / 839
vor 22 Stunden von DeathAndPain 4 / 839
Newsletter Anmeldung
Keine Beiträge verpassen! Wöchentlich versenden wir lesenwerte Beiträge aus unserer Community.Die letzte Ausgabe findest du hier.
Aktuelle Forenbeiträge
Nach Transport von Stellen über RHMOVE30 nur Planvariante "nie verwenden"
vor 22 Stunden von DeathAndPain 4 / 839
vor 22 Stunden von DeathAndPain 4 / 839