{"id":1271,"date":"2018-09-13T12:03:31","date_gmt":"2018-09-13T10:03:31","guid":{"rendered":"https:\/\/securityblog.akquinet.de\/?p=1271"},"modified":"2021-05-10T14:20:28","modified_gmt":"2021-05-10T12:20:28","slug":"code-injection-durch-logische-datenbanken","status":"publish","type":"post","link":"https:\/\/sast-solutions.de\/blog-de\/2018\/09\/13\/code-injection-durch-logische-datenbanken\/","title":{"rendered":"Code Injection durch logische Datenbanken"},"content":{"rendered":"

\"SASTLogische Datenbanken haben sich einmal gro\u00dfer Beliebtheit erfreut. Schlie\u00dflich konnte man relativ leicht eine komplexe Selektion darstellen und musste daf\u00fcr nicht aufwendige Reports schreiben. Auch die Art der dynamischen Selektion war bei Anwendern beliebt, sodass Entwickler immer wieder darauf zur\u00fcckgriffen. Mit der Version 7.50 erkl\u00e4rte die SAP logische Datenbanken nun f\u00fcr obsolet \u2013 mit der Folge, dass keine neuen logischen Datenbanken mehr angelegt werden sollen, aber die alten wie gehabt weiterfunktionieren. Das zieht aber auch ein Sicherheitsproblem nach sich, welches alle Reporte betreffen kann.<\/p>\n

<\/p>\n

 <\/p>\n

Logische Datenbanken<\/h2>\n

Um einen Report im SAP System auszuf\u00fchren, wird der Code, welchen der Programmierer schreibt, um viele interne Anweisungen erweitert. Beispielsweise wird die Konstante \u201eSPACE\u201c \u00fcber das Include <SYSINI><\/em> eingebaut. Im Kontext der logischen Datenbanken werden auch die beiden in der SAP Hilfe beschriebenen Aufrufe der Unterroutinen before_event<\/em> und after_event<\/em> implementiert. Diese Unterroutinen werden ebenfalls eingebaut, und falls es sich um eine logische Datenbank handelt, auch ausgef\u00fchrt.<\/p>\n

\"ABAP-Editor<\/p>\n

Innerhalb dieses automatisch eingebauten Include <SYSINI><\/em> gibt es eine Anweisung, die ein Angreifer ausnutzen kann:<\/p>\n

\"ABAP-Editor:<\/p>\n

Diese Anweisung wird in einem normalen Report immer mit festen (SAP-Standard-) Reports gef\u00fcllt und ist somit unkritisch. In dem Kontext der logischen Datenbanken aber wird der Inhalt der Systemvariable SY-LDBPG<\/em> benutzt, um Standardroutinen aufzurufen. Ein generierter \u201enormaler\u201c Report unterscheidet sich von einem generierten Report einer logischen Datenbank nur durch die F\u00fcllung dieses Feldes.<\/p>\n

Wenn sich nun in einem Report ohne logische Datenbank eine M\u00f6glichkeit ergibt, das Feld SY-LDBPG<\/em> zu f\u00fcllen \u2013 beispielsweise \u00fcber einen Userexit \u2013, dann werden die bekannten Unterroutinen innerhalb des gleichen Programms gerufen. Da diese aber normalerweise nicht implementiert sind, stellt dies keine Gefahr dar. Die Unterroutine %_ROOT<\/em> aber wird mit dem Programm des Systemfeldes gerufen. Somit kann dort ein Quellcodeabschnitt angegeben werden, der au\u00dferhalb der Kontrolle des Programms liegt.<\/p>\n

Ein Beispiel: Dieser Report ohne<\/u> logische Datenbank f\u00fcllt das Feld direkt.<\/p>\n

\"ABAP-Editor_Z_Normal<\/p>\n

Der gerufene Report hat keine andere Aufgabe, als die Unterroutine zu beherbergen.<\/p>\n

\"ABAP-Editor_Z_HACK_ME\"<\/p>\n

Das Ergebnis:<\/p>\n

\"ABAP-Editor_Report\"<\/p>\n

Wie Ihre ABAP-Codings Angriffen standhalten<\/strong><\/h3>\n

Mit dem SAST Code Security Advisor<\/a> der akquinet AG k\u00f6nnen Sie erkennen, ob Sie bereits Opfer dieses Angriffes sind und ausschlie\u00dfen in Zukunft Opfer zu werden. Denn eine belastbare und konsistente Grundsicherheit Ihrer SAP-Systeme erreichen Sie nur \u00fcber einen wirklich ganzheitlichen Security-Ansatz. Und das schlie\u00dft auch Ihr ABAP-Coding mit ein. Eine Risikobewertung, angereichert mit Kennzahlen wie beispielsweise Nutzerstatistiken, erleichtert Ihnen die Priorisierung bei der Bereinigung und bietet die M\u00f6glichkeit obsoleten Code ganz einfach stillzulegen. Der ideale Schutz vor einem Missbrauch potenzieller Backdoors.<\/p>\n

Sie wollen mehr zum Thema Platform Security<\/a> erfahren, oder interessieren sich f\u00fcr unseren SAST Code Security Advisor? Dann besuchen Sie uns gerne auf unserer SAST SOLUTIONS Website<\/a> oder sprechen Sie uns an: knowhow@akquinet.de<\/a><\/p>\n

\"Markus<\/p>\n

Markus Rest, <\/strong>SAP ABAP Development (SAST SOLUTIONS)
\n<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"

Logische Datenbanken haben sich einmal gro\u00dfer Beliebtheit erfreut. Schlie\u00dflich konnte man relativ leicht eine komplexe Selektion darstellen und musste daf\u00fcr nicht aufwendige Reports schreiben. Auch die Art der dynamischen Selektion war bei Anwendern beliebt, sodass Entwickler immer wieder darauf zur\u00fcckgriffen. Mit der Version 7.50 erkl\u00e4rte die SAP logische Datenbanken nun f\u00fcr obsolet \u2013 mit der […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[160,86],"class_list":["post-1271","post","type-post","status-publish","format-standard","hentry","category-sast-suite","tag-grc","tag-sap-sicherheit"],"yoast_head":"\nKeine neuen logischen Datenbanken mehr?<\/title>\n<meta name=\"description\" content=\"Mit Version 7.50 erkl\u00e4rte die SAP logische Datenbanken f\u00fcr obsolet \u2013 was ein Sicherheitsproblem nach sich zieht, welches alle Reporte betreffen kann.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/sast-solutions.de\/blog-de\/2018\/09\/13\/code-injection-durch-logische-datenbanken\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Keine neuen logischen Datenbanken mehr?\" \/>\n<meta property=\"og:description\" content=\"Mit Version 7.50 erkl\u00e4rte die SAP logische Datenbanken f\u00fcr obsolet \u2013 was ein Sicherheitsproblem nach sich zieht, welches alle Reporte betreffen kann.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/sast-solutions.de\/blog-de\/2018\/09\/13\/code-injection-durch-logische-datenbanken\/\" \/>\n<meta property=\"og:site_name\" content=\"SAST BLOG\" \/>\n<meta property=\"article:published_time\" content=\"2018-09-13T10:03:31+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2021-05-10T12:20:28+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/securityblog.akquinet.de\/wp-content\/uploads\/2018\/09\/Motiv_SAST-CSA_150dpi_1805-300x200.png\" \/>\n<meta name=\"author\" content=\"@securityblog\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Verfasst von\" \/>\n\t<meta name=\"twitter:data1\" content=\"@securityblog\" \/>\n\t<meta name=\"twitter:label2\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data2\" content=\"4\u00a0Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/sast-solutions.de\/blog-de\/2018\/09\/13\/code-injection-durch-logische-datenbanken\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/sast-solutions.de\/blog-de\/2018\/09\/13\/code-injection-durch-logische-datenbanken\/\"},\"author\":{\"name\":\"@securityblog\",\"@id\":\"https:\/\/sast-solutions.de\/blog-de\/#\/schema\/person\/0b711a87706921b02e57b5408e1d13d2\"},\"headline\":\"Code Injection durch logische Datenbanken\",\"datePublished\":\"2018-09-13T10:03:31+00:00\",\"dateModified\":\"2021-05-10T12:20:28+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/sast-solutions.de\/blog-de\/2018\/09\/13\/code-injection-durch-logische-datenbanken\/\"},\"wordCount\":471,\"publisher\":{\"@id\":\"https:\/\/sast-solutions.de\/blog-de\/#organization\"},\"image\":{\"@id\":\"https:\/\/sast-solutions.de\/blog-de\/2018\/09\/13\/code-injection-durch-logische-datenbanken\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/securityblog.akquinet.de\/wp-content\/uploads\/2018\/09\/Motiv_SAST-CSA_150dpi_1805-300x200.png\",\"keywords\":[\"GRC\",\"SAP-Sicherheit\"],\"articleSection\":[\"SAST SUITE\"],\"inLanguage\":\"de\"},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/sast-solutions.de\/blog-de\/2018\/09\/13\/code-injection-durch-logische-datenbanken\/\",\"url\":\"https:\/\/sast-solutions.de\/blog-de\/2018\/09\/13\/code-injection-durch-logische-datenbanken\/\",\"name\":\"Keine neuen logischen Datenbanken mehr?\",\"isPartOf\":{\"@id\":\"https:\/\/sast-solutions.de\/blog-de\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/sast-solutions.de\/blog-de\/2018\/09\/13\/code-injection-durch-logische-datenbanken\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/sast-solutions.de\/blog-de\/2018\/09\/13\/code-injection-durch-logische-datenbanken\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/securityblog.akquinet.de\/wp-content\/uploads\/2018\/09\/Motiv_SAST-CSA_150dpi_1805-300x200.png\",\"datePublished\":\"2018-09-13T10:03:31+00:00\",\"dateModified\":\"2021-05-10T12:20:28+00:00\",\"description\":\"Mit Version 7.50 erkl\u00e4rte die SAP logische Datenbanken f\u00fcr obsolet \u2013 was ein Sicherheitsproblem nach sich zieht, welches alle Reporte betreffen kann.\",\"breadcrumb\":{\"@id\":\"https:\/\/sast-solutions.de\/blog-de\/2018\/09\/13\/code-injection-durch-logische-datenbanken\/#breadcrumb\"},\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/sast-solutions.de\/blog-de\/2018\/09\/13\/code-injection-durch-logische-datenbanken\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/sast-solutions.de\/blog-de\/2018\/09\/13\/code-injection-durch-logische-datenbanken\/#primaryimage\",\"url\":\"https:\/\/securityblog.akquinet.de\/wp-content\/uploads\/2018\/09\/Motiv_SAST-CSA_150dpi_1805-300x200.png\",\"contentUrl\":\"https:\/\/securityblog.akquinet.de\/wp-content\/uploads\/2018\/09\/Motiv_SAST-CSA_150dpi_1805-300x200.png\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/sast-solutions.de\/blog-de\/2018\/09\/13\/code-injection-durch-logische-datenbanken\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Startseite\",\"item\":\"https:\/\/sast-solutions.de\/blog-de\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Code Injection durch logische Datenbanken\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/sast-solutions.de\/blog-de\/#website\",\"url\":\"https:\/\/sast-solutions.de\/blog-de\/\",\"name\":\"SAST BLOG\",\"description\":\"SAP Application Security & Access Governance\",\"publisher\":{\"@id\":\"https:\/\/sast-solutions.de\/blog-de\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/sast-solutions.de\/blog-de\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/sast-solutions.de\/blog-de\/#organization\",\"name\":\"SAST BLOG\",\"url\":\"https:\/\/sast-solutions.de\/blog-de\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/sast-solutions.de\/blog-de\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/sast-solutions.de\/blog-de\/wp-content\/uploads\/2022\/06\/cropped-Logo_SAST-PLG_2205.png\",\"contentUrl\":\"https:\/\/sast-solutions.de\/blog-de\/wp-content\/uploads\/2022\/06\/cropped-Logo_SAST-PLG_2205.png\",\"width\":232,\"height\":232,\"caption\":\"SAST BLOG\"},\"image\":{\"@id\":\"https:\/\/sast-solutions.de\/blog-de\/#\/schema\/logo\/image\/\"}},{\"@type\":\"Person\",\"@id\":\"https:\/\/sast-solutions.de\/blog-de\/#\/schema\/person\/0b711a87706921b02e57b5408e1d13d2\",\"name\":\"@securityblog\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Keine neuen logischen Datenbanken mehr?","description":"Mit Version 7.50 erkl\u00e4rte die SAP logische Datenbanken f\u00fcr obsolet \u2013 was ein Sicherheitsproblem nach sich zieht, welches alle Reporte betreffen kann.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/sast-solutions.de\/blog-de\/2018\/09\/13\/code-injection-durch-logische-datenbanken\/","og_locale":"de_DE","og_type":"article","og_title":"Keine neuen logischen Datenbanken mehr?","og_description":"Mit Version 7.50 erkl\u00e4rte die SAP logische Datenbanken f\u00fcr obsolet \u2013 was ein Sicherheitsproblem nach sich zieht, welches alle Reporte betreffen kann.","og_url":"https:\/\/sast-solutions.de\/blog-de\/2018\/09\/13\/code-injection-durch-logische-datenbanken\/","og_site_name":"SAST BLOG","article_published_time":"2018-09-13T10:03:31+00:00","article_modified_time":"2021-05-10T12:20:28+00:00","og_image":[{"url":"https:\/\/securityblog.akquinet.de\/wp-content\/uploads\/2018\/09\/Motiv_SAST-CSA_150dpi_1805-300x200.png","type":"","width":"","height":""}],"author":"@securityblog","twitter_card":"summary_large_image","twitter_misc":{"Verfasst von":"@securityblog","Gesch\u00e4tzte Lesezeit":"4\u00a0Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/sast-solutions.de\/blog-de\/2018\/09\/13\/code-injection-durch-logische-datenbanken\/#article","isPartOf":{"@id":"https:\/\/sast-solutions.de\/blog-de\/2018\/09\/13\/code-injection-durch-logische-datenbanken\/"},"author":{"name":"@securityblog","@id":"https:\/\/sast-solutions.de\/blog-de\/#\/schema\/person\/0b711a87706921b02e57b5408e1d13d2"},"headline":"Code Injection durch logische Datenbanken","datePublished":"2018-09-13T10:03:31+00:00","dateModified":"2021-05-10T12:20:28+00:00","mainEntityOfPage":{"@id":"https:\/\/sast-solutions.de\/blog-de\/2018\/09\/13\/code-injection-durch-logische-datenbanken\/"},"wordCount":471,"publisher":{"@id":"https:\/\/sast-solutions.de\/blog-de\/#organization"},"image":{"@id":"https:\/\/sast-solutions.de\/blog-de\/2018\/09\/13\/code-injection-durch-logische-datenbanken\/#primaryimage"},"thumbnailUrl":"https:\/\/securityblog.akquinet.de\/wp-content\/uploads\/2018\/09\/Motiv_SAST-CSA_150dpi_1805-300x200.png","keywords":["GRC","SAP-Sicherheit"],"articleSection":["SAST SUITE"],"inLanguage":"de"},{"@type":"WebPage","@id":"https:\/\/sast-solutions.de\/blog-de\/2018\/09\/13\/code-injection-durch-logische-datenbanken\/","url":"https:\/\/sast-solutions.de\/blog-de\/2018\/09\/13\/code-injection-durch-logische-datenbanken\/","name":"Keine neuen logischen Datenbanken mehr?","isPartOf":{"@id":"https:\/\/sast-solutions.de\/blog-de\/#website"},"primaryImageOfPage":{"@id":"https:\/\/sast-solutions.de\/blog-de\/2018\/09\/13\/code-injection-durch-logische-datenbanken\/#primaryimage"},"image":{"@id":"https:\/\/sast-solutions.de\/blog-de\/2018\/09\/13\/code-injection-durch-logische-datenbanken\/#primaryimage"},"thumbnailUrl":"https:\/\/securityblog.akquinet.de\/wp-content\/uploads\/2018\/09\/Motiv_SAST-CSA_150dpi_1805-300x200.png","datePublished":"2018-09-13T10:03:31+00:00","dateModified":"2021-05-10T12:20:28+00:00","description":"Mit Version 7.50 erkl\u00e4rte die SAP logische Datenbanken f\u00fcr obsolet \u2013 was ein Sicherheitsproblem nach sich zieht, welches alle Reporte betreffen kann.","breadcrumb":{"@id":"https:\/\/sast-solutions.de\/blog-de\/2018\/09\/13\/code-injection-durch-logische-datenbanken\/#breadcrumb"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/sast-solutions.de\/blog-de\/2018\/09\/13\/code-injection-durch-logische-datenbanken\/"]}]},{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/sast-solutions.de\/blog-de\/2018\/09\/13\/code-injection-durch-logische-datenbanken\/#primaryimage","url":"https:\/\/securityblog.akquinet.de\/wp-content\/uploads\/2018\/09\/Motiv_SAST-CSA_150dpi_1805-300x200.png","contentUrl":"https:\/\/securityblog.akquinet.de\/wp-content\/uploads\/2018\/09\/Motiv_SAST-CSA_150dpi_1805-300x200.png"},{"@type":"BreadcrumbList","@id":"https:\/\/sast-solutions.de\/blog-de\/2018\/09\/13\/code-injection-durch-logische-datenbanken\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Startseite","item":"https:\/\/sast-solutions.de\/blog-de\/"},{"@type":"ListItem","position":2,"name":"Code Injection durch logische Datenbanken"}]},{"@type":"WebSite","@id":"https:\/\/sast-solutions.de\/blog-de\/#website","url":"https:\/\/sast-solutions.de\/blog-de\/","name":"SAST BLOG","description":"SAP Application Security & Access Governance","publisher":{"@id":"https:\/\/sast-solutions.de\/blog-de\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/sast-solutions.de\/blog-de\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de"},{"@type":"Organization","@id":"https:\/\/sast-solutions.de\/blog-de\/#organization","name":"SAST BLOG","url":"https:\/\/sast-solutions.de\/blog-de\/","logo":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/sast-solutions.de\/blog-de\/#\/schema\/logo\/image\/","url":"https:\/\/sast-solutions.de\/blog-de\/wp-content\/uploads\/2022\/06\/cropped-Logo_SAST-PLG_2205.png","contentUrl":"https:\/\/sast-solutions.de\/blog-de\/wp-content\/uploads\/2022\/06\/cropped-Logo_SAST-PLG_2205.png","width":232,"height":232,"caption":"SAST BLOG"},"image":{"@id":"https:\/\/sast-solutions.de\/blog-de\/#\/schema\/logo\/image\/"}},{"@type":"Person","@id":"https:\/\/sast-solutions.de\/blog-de\/#\/schema\/person\/0b711a87706921b02e57b5408e1d13d2","name":"@securityblog"}]}},"_links":{"self":[{"href":"https:\/\/sast-solutions.de\/blog-de\/wp-json\/wp\/v2\/posts\/1271","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sast-solutions.de\/blog-de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sast-solutions.de\/blog-de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sast-solutions.de\/blog-de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sast-solutions.de\/blog-de\/wp-json\/wp\/v2\/comments?post=1271"}],"version-history":[{"count":8,"href":"https:\/\/sast-solutions.de\/blog-de\/wp-json\/wp\/v2\/posts\/1271\/revisions"}],"predecessor-version":[{"id":2880,"href":"https:\/\/sast-solutions.de\/blog-de\/wp-json\/wp\/v2\/posts\/1271\/revisions\/2880"}],"wp:attachment":[{"href":"https:\/\/sast-solutions.de\/blog-de\/wp-json\/wp\/v2\/media?parent=1271"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sast-solutions.de\/blog-de\/wp-json\/wp\/v2\/categories?post=1271"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sast-solutions.de\/blog-de\/wp-json\/wp\/v2\/tags?post=1271"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}