Benchmark: Sicherheitslücken & Compliance-

Transkript

1 Peter Werner TITEL bearbeiten Dr. Markus Schumacher Benchmark: Sicherheitslücken & Compliance- Risiken Click to im edit ABAP-Code Master text styles von SAP-Anwendungen Virtual Forge GmbH All rights reserved.

2 AGENDA TITEL bearbeiten Vergleichende Daten & Fakten aus einer Vielzahl durchgeführter Code- Click to edit Master text styles Review-Projekte Überprüfte Systeme / Kunden BIZEC APP/11 Gewonnene Erkenntnisse

3 AGENDA TITEL bearbeiten Vergleichende Daten & Fakten aus einer Vielzahl durchgeführter Code- Click to edit Master text styles Review-Projekte Überprüfte Systeme / Kunden BIZEC APP/11 Gewonnene Erkenntnisse

4 TITEL Datenbasis bearbeiten Click 24 Kunden to edit / Master 24 Systeme text styles Second Application level Audits Lines of Code Zeitraum Q4/2011 bis Q1/2012 Alle Findings wurden im Kunden-Code gefunden Y*,Z* or 3 rd party namespaces Testfälle Betrachtung der BIZEC APP/11 Liste Security, Compliance und Performance

5 TITEL Definitionen bearbeiten Click to edit Master text styles Arithmetisches Mittel: AM = 1 n Median: Werte nach Größe Fifth sortiert level n i=1 Der Wert welcher an der mittleren Stelle steht, wenn man die LOC = Lines of Code (ohne Kommentare und Leerzeilen) KLOC = Kilo LOC x i

6 TITEL Projekt-Kennzahlen bearbeiten CodeProfiler Daten Metric Average Median Source Code Lines (LOC) (without Second comments level and empty lines) Comments Inline Comments Percentage of Comments in analyzed Lines 29% 28% Pragmas Average Module Size (LOC) 52,33 52,50 Statements Overall Cyclomatic Complexity

7 TITEL Projekt-Kennzahlen bearbeiten CodeProfiler Daten Metric Average Median Packages Classes Function Groups Programs Includes BSP Applications 4 0 BSP Pages 31 0 Web Dynpros 3 0 WD Components 19 0

8 TITEL Projekt-Kennzahlen bearbeiten CodeProfiler Daten Metric Average Median SAP Enhancements (All) SAP Enhancements - User-Exits SAP Enhancements - User-Exits - Within Projects SAP Enhancements - BAdIs Modules (All) Modules Methods Modules Function Modules Modules Programs Modules Forms Modules Includes

9 TITEL Security bearbeiten Metrics der durchschnittlichen Projekte Metric Average Median Authority Checks Function Modules (RFC) RFC Calls to Server Sources (Total) Sources - Untrusted (HTTP) Sources - Untrusted (SAPGUI) Sources - Untrusted (RFC) Sources - Untrusted (FTP) 3 0 Sources - Untrusted (Indirect via file or OS)

10 AGENDA TITEL bearbeiten Vergleichende Daten & Fakten aus einer Vielzahl durchgeführter Code- Click to edit Master text styles Review-Projekte Überprüfte Systeme / Kunden BIZEC APP/11 Gewonnene Erkenntnisse

11 TITEL Über BIZEC bearbeiten

12 TITEL BIZEC bearbeiten APP/ ID Defect Description APP-01 ABAP Command Injection Execution of arbitrary ABAP Code APP-02 OS Command Injection Execution of arbitrary Operating System Commands APP-03 Improper Authorization (Missing, Broken, Proprietary, Generic) Missing or erroneous Authorization Checks APP-04 Generic Module Execution Unauthorized Execution of Modules (Reports, FuMo, etc.) APP-05 Cross-Client Database Access Cross-Client Access to Business Data APP-06 SQL Injection Malicious Manipulation of Database Commands APP-07 Unmanaged SQL Usage of native SQL Commands APP-08 Cross-Site Scripting Manipulation of Browser UI, Authorization Theft APP-09 Cross-Site Request Forgery Execution of Business Logic in the Name of a different User. APP-10 File Upload (Malware) Storage of malicious Files on an SAP Server APP-11 Directory Traversal Unauthorized read/write Access to Files (SAP Server)

13 Vulnerabilities per KLOC TITEL APP/11 bearbeiten Verteilung CodeProfiler vulnerabilities per KLOC 2,5 2 1,5 1 APP/11 Vulnerabilities per KLOC 0,5 0 Series 23 Series 21 Series 19 Series 17 Series 15 Series 13 Series 11 9 Series 7 Series 5 Series 3 Series 1

14 TITEL Ergebnisse bearbeiten im Bezug auf APP/11 Vulnerabilities per SAP System Category Average Median APP-01 ABAP Command Injection APP-02 OS Command Injection n/a n/a APP-03 Improper Authorization APP-04 Generic Fourth Module level Execution APP-05 Cross-Client Database Access APP-06 SQL Injection APP-07 Unmanaged SQL 7 14 APP-08 Cross-Site Scripting 1 1 APP-09 Cross-Site Request Forgery n/a n/a APP-10 File Upload (Malware) APP-11 Directory Traversal

15 Vulnerabilites per KLOC TITEL Top 10 bearbeiten Security Findings CodeProfiler vulnerabilities per KLOC 0,4 0,35 0,3 0,25 0,2 0,15 0,1 0,05 0 Median Average

16 Vulnerabilities per KLOC TITEL Top 7 bearbeiten Compliance CodeProfiler vulnerabilities per KLOC 0, , , , , , , , Median Average

17 Vulnerabilities per KLOC TITEL Top 10 bearbeiten Performance CodeProfiler vulnerabilities per KLOC 0, , , , , , , , , , Median Average

18 AGENDA TITEL bearbeiten Vergleichende Daten & Fakten aus einer Vielzahl durchgeführter Code- Click to edit Master text styles Review-Projekte Überprüfte Systeme / Kunden BIZEC APP/11 Gewonnene Erkenntnisse

19 TITEL Gewonnene bearbeiten Erkenntnisse Click SAP GUI to edit und Master RFC text styles Erkenntnisse aus unseren SAP Basis Audits Der durchschnittliche SAP key user hat S_RFC = * Angriffsmöglichkeiten Quellen verteilt auf Module: Metric Average Median Sources per Modul ~0,60 ~0,58 Jedes zweite Modul prozessiert mindestens eine externe Eingabe

20 TITEL Gewonnene bearbeiten Erkenntnisse In jedem System gibt es mit einer Wahrscheinlichkeit größer 60% Second mindestens level eine ABAP command injection 100% der Projekte haben Berechtigungsprobleme durch CALL TRANSACTION In fast 100% der Projekte haben wir mindestens ein Problem mit Directory Traversal (Read or Write) gefunden In Zeilen ABAP-Code ist eine kritische Sicherheitslücke

21 TITEL Disclaimer bearbeiten 2012 Virtual Forge GmbH. All rights reserved. SAP, ABAP und weitere im Text erwähnte SAP-Produkte und Dienstleistungen sowie die entsprechenden Logos sind Marken oder eingetragene Marken der SAP AG in Deutschland und anderen Ländern weltweit. Alle anderen Namen von Produkten und Dienstleistungen sind Marken der jeweiligen Firmen. Die Angaben im Text sind unverbindlich und dienen lediglich zu Informationszwecken In dieser Publikation enthaltene Informationen können ohne vorherige Ankündigung geändert werden. Die vorliegenden Angaben werden von Virtual Forge bereitgestellt und dienen ausschließlich Informationszwecken. Virtual Forge über nimmt keinerlei Haftung oder Garantie für Fehler oder Unvollständigkeiten in dieser Publikation. Aus den in dieser Publikation enthaltenen Informationen ergibt sich keine weiterführende Haftung. Es gelten die Allgemeinen Geschäftsbedingungen von Virtual Forge einsehbar auf