恶魔 SAP ABAP安全测试程序 SAP安全的一个重要领域(近年来已成为焦点)是对特定于客户的程序的分析,这些程序通常是用专有的SAP语言ABAP编写的。 就像在任何编程语言中一样,经典漏洞可以被编程-有意或无意地将其编码到现有代码中。 但是,模式本身与Java堆栈或Windows程序中的模式明显不同。 这些常规程序的目的通常是使程序要么因目标不正确的条目而崩溃(缓冲区溢出),要么人为地注入代码以执行(代码注入)。 在ABAP系统中,像在基于CGI的服务器之类的其他Web系统中,这两者都是不可能的,因为进程崩溃除了在日志数据库中创建一个条目(转储ST22)并通过返回菜单开始而退出程序外,什么也没有做观点。 在经典的攻击场景中,无法像其他高级语言或服务器那样进行直接操作。 但是,还有其他可能的操纵方式。 SAP系统上越来越多的攻击媒介必须处理用作特洛伊木马或本身已经构成威胁的ABAP