Sicherheit und SAP
4 Beiträge
•
Seite 1 von 1
4 Beiträge
Seite 1 von 1
gesponsert ⓘ
Stellenangebote auf ABAPforum.com schalten
kostenfrei für Ausbildungsberufe und Werksstudenten
kostenfrei für Ausbildungsberufe und Werksstudenten
Beitrag
von Frank Dittrich (Expert / 674 / 0 /
15
)
»
http://www.it-audit-de/
Hier findest Du einige Artikel zu dem Thema:
http://www.it-audit.de/html/ian_sp_sap_sp.html
Gelegenheit zur Eigenwerbung:
Mein Artikel http://www.it-audit.de/assets/download/ ... sswort.pdf beschränkt sich auf diverese Probleme im Zusammenhang mit der Sicherheit von SAP-Passworten (soweit ich die Probleme beschreiben konnte, ohne gezielte Anleitungen für Angriffe zu liefern).
Empfehlenswert ist auch der Artikel von Jochen Hein: Wir hacken eine SAP Datenbank
http://www.lan-ks.de/~jochen/sap-r3/ora-hack.html
Einige Artikel bescheiben aber auch nur, was schon aus älteren SAP-Publikationen zum Thema Sicherheit bekannt ist.
Und dann wäre eventuell noch hilfreich, wenn Du sagen würdest, was für SAP-Systeme du gegen welche Art von Risiken absichern möchtest.
Frank
Hier findest Du einige Artikel zu dem Thema:
http://www.it-audit.de/html/ian_sp_sap_sp.html
Gelegenheit zur Eigenwerbung:
Mein Artikel http://www.it-audit.de/assets/download/ ... sswort.pdf beschränkt sich auf diverese Probleme im Zusammenhang mit der Sicherheit von SAP-Passworten (soweit ich die Probleme beschreiben konnte, ohne gezielte Anleitungen für Angriffe zu liefern).
Empfehlenswert ist auch der Artikel von Jochen Hein: Wir hacken eine SAP Datenbank
http://www.lan-ks.de/~jochen/sap-r3/ora-hack.html
Einige Artikel bescheiben aber auch nur, was schon aus älteren SAP-Publikationen zum Thema Sicherheit bekannt ist.
Und dann wäre eventuell noch hilfreich, wenn Du sagen würdest, was für SAP-Systeme du gegen welche Art von Risiken absichern möchtest.
Frank
Hallo,
mit Interesse verfolge ich die Beiträge hier im Forum. Es gibt wirklich gute und nützliche Tipps&Tricks.
Was mich jedoch stark verwundert ist, mit welchen Beispielen hier teilweise gearbeitet wird. In einem Artikel, der unter it-audit zu lesen ist, wird beispielhaft davon ausgegangen, dass "Prozessverantwortliche" alle Tabellen mittels SE16 sehen dürfen.
Nun ist allgemein bekannt, dass die SE16 gerne als "Query-Ersatz" verwendet wird. Das mag ja gut und schön sein, aber bitte niemals im S_TABU_DIS Leseberechtigung für alle Tabellengruppen. Man sollte im Gedächtnis haben, dass Berechtigungen nicht "nice-to-have" oder technischer Schnickschnack, sondern in einigen Bereichen durch das BDSG eindeutig reglementiert sind.
Spätestens dann, wenn die Basisbezüge des Vorstandes am schwarzen Brett hängen, wird man sich überlegen, ob evtl. auch HR auf dem System läuft....
mit Interesse verfolge ich die Beiträge hier im Forum. Es gibt wirklich gute und nützliche Tipps&Tricks.
Was mich jedoch stark verwundert ist, mit welchen Beispielen hier teilweise gearbeitet wird. In einem Artikel, der unter it-audit zu lesen ist, wird beispielhaft davon ausgegangen, dass "Prozessverantwortliche" alle Tabellen mittels SE16 sehen dürfen.
Nun ist allgemein bekannt, dass die SE16 gerne als "Query-Ersatz" verwendet wird. Das mag ja gut und schön sein, aber bitte niemals im S_TABU_DIS Leseberechtigung für alle Tabellengruppen. Man sollte im Gedächtnis haben, dass Berechtigungen nicht "nice-to-have" oder technischer Schnickschnack, sondern in einigen Bereichen durch das BDSG eindeutig reglementiert sind.
Spätestens dann, wenn die Basisbezüge des Vorstandes am schwarzen Brett hängen, wird man sich überlegen, ob evtl. auch HR auf dem System läuft....
Beitrag
von Frank Dittrich (Expert / 674 / 0 /
15
)
»
Zu meinem Artikel vom August 2003
http://www.it-audit.de/assets/artikel/e ... sswort.pdf
gibt es inzwischen ein Update:
http://www.it-audit.de/assets/artikel/e ... Update.pdf
Einige der in dem Review enthaltenen Informationen hatte ich hier schon mal erwähnt:
http://www.abapforum.com/forum/viewtopi ... =5040#5040
An neuen Informationen:
-von SAP beim Versuch, alte Fehler zu beheben, neu eingebaute Fehler im Zusammenhang mit Passworten
-Erläuterung weiterer Schwachstellen im Hash-Algorithmus
-Empfehlung, den Hash-Algorithmus mit CODVN D nicht einzusetzen
Frank
http://www.it-audit.de/assets/artikel/e ... sswort.pdf
gibt es inzwischen ein Update:
http://www.it-audit.de/assets/artikel/e ... Update.pdf
Einige der in dem Review enthaltenen Informationen hatte ich hier schon mal erwähnt:
http://www.abapforum.com/forum/viewtopi ... =5040#5040
An neuen Informationen:
-von SAP beim Versuch, alte Fehler zu beheben, neu eingebaute Fehler im Zusammenhang mit Passworten
-Erläuterung weiterer Schwachstellen im Hash-Algorithmus
-Empfehlung, den Hash-Algorithmus mit CODVN D nicht einzusetzen
Frank
Seite 1 von 1
Frage die ABAP Experten
Über diesen Beitrag
Unterstütze die Community und teile den Beitrag für mehr Leser und Austausch
Aktuelle Forenbeiträge
Newsletter Anmeldung
Keine Beiträge verpassen! Wöchentlich versenden wir lesenwerte Beiträge aus unserer Community.Die letzte Ausgabe findest du hier.
Aktuelle Forenbeiträge
Unbeantwortete Forenbeiträge
F6862 - Stücklistenpositionen Massenhinzufügen ohne Änderungsnummer
letzen Monat von Radinator 1 / 15524
letzen Monat von Radinator 1 / 15524
HR Forms (SAP HCM): Anwenderdokumentation, Anleitung oder Schulungsunterlagen gesucht
April 2026 von PatHei 1 / 6571
April 2026 von PatHei 1 / 6571