Hacking von SAP®-Systemen und Datenbanken

Seminar-NummerSPHC

Die Prüfung des Berechtigungskonzeptes in SAP® ist zwar notwendig, aber nicht hinreichend für eine Aussage über die Sicherheit der Daten des SAP®-Systems.

Schwachstellen im SAP®-System, in der Konfiguration des Betriebssystems, der Netzwerkkommunikationen und auch der Datenbanken ermöglichen es, schnell an den gesamten Datenbestand zu gelangen.

In diesem Seminar werden praktisch gängige Methoden zur Umgehung des Passwortschutzes im SAP®, Hacking der SAP®-Passworte, Mitlesen der Kommunikationen zwischen SAP® und Datenbank von den Teilnehmern analysiert. Der Einsatz frei verfügbarer Tools zeigt den Teilnehmern, wie einfach das Ermitteln der Passwörter des SAP®-Systems oder der Datenbanken ist.

Aber auch Lösungen zur Absicherung und Kontrolle dieser Lücken werden vermittelt. Hierdurch können die Teilnehmer zukünftig auch die unteren Schichten des SAP®-Systems prüfen, bewerten und Sicherheitsmaßnahmen empfehlen. Prüflisten und Checklisten gewährleisten dazu eine strukturierte Vorgehensweise.

SAP®-Passwort-System

• Hashwert und die Bildung
• Manipulation des Hashwertes
• Zugriff auf die Tabelle USR02
• Umgehen der Änderungebeschränkungen im SAP®

Hacking von SAP®-Passworten

• Schwächen der Passwortgenerierung
• Nutzen von SAP®-Mini-Systemen
• ABAP-Programm zur Ermittlung des Passwortes
• Ausnutzen des ermittelten Passwortes
• Überschreiben eines Hashwertes in der USR02

Remote-Manipulation

• Ausnutzen der RFC-Funktion im SAP®
• Hacken und Einrichten eines RFC-Users
• Manipulation von Daten über RFC
• Auslesen aller Tabellen über Excel oder Access
• Gefahren bei RFC
• Logging und Revision

Datenbank-Kommunikation

• Mitlesen des Datenverkehrs zwischen SAP® und Datenbank
• Direkter Zugriff und Manipulation
• Hacken von DBen und Passwörten
• Sicherung der Kommunikation in den unteren Schichten
• Kriterien zur Planung und Realisierung einer Zugriffs-Konzeption