SAP-Sicherheitshinweise zum Thema Clickjacking: Wo soll man anfangen?

Einleitung

Vor einigen Monaten haben wir einen Beitrag über Clickjacking-Angriffe veröffentlicht, in dem wir die Art des Angriffs, die dazugehörigen Sicherheitshinweise und Statistiken zu den Angriffen selbst analysiert haben. Auch wenn diese Art von Angriffen nicht neu ist, ist es für die SAP-Welt wichtig, sie zu verstehen, insbesondere angesichts ihrer Relevanz nach der Veröffentlichung der Sicherheitshinweise im Juli. Wenn Sie SAP-Anwender sind und versucht haben, einige dieser Hinweise umzusetzen, ist Ihnen vielleicht aufgefallen, dass viele davon mit anderen Clickjacking-Hinweisen zusammenhängen, und diese wiederum mit weiteren und so weiter. Dies könnte zu einem komplizierten Patch-Prozess führen. Als Fortsetzung des letzten Clickjacking-Blogbeitrags bietet dieser Beitrag einen Überblick darüber, wo man mit der Umsetzung verschiedener Clickjacking-Hinweise beginnen sollte. Darüber hinaus wird in diesem Beitrag der korrekte Prozess beschrieben, den Sie befolgen sollten, um Probleme in Ihren SAP-Systemen zu vermeiden.

Kurzer Überblick: Clickjacking

Beginnen wir mit einer einfachen Frage: Was ist Clickjacking? Es handelt sich um eine Technik, mit der Angreifer Nutzer dazu verleiten, auf Elemente zu klicken, die sich als etwas anderes ausgeben, als sie tatsächlich sind – um die Sitzung des Opfers für eine böswillige Transaktion zu missbrauchen. Um es zu verdeutlichen: Stellen Sie sich vor, ein Fenster würde aufpoppen und Sie auffordern, irgendwo darauf zu klicken. Der Inhalt würde scheinbar für etwas Harmloses werben, aber was Sie nicht sehen können, ist, dass sich vor dem Pop-up ein transparenter iframe-Tag befindet, der einen Verweis auf ein bösartiges Portal enthält (was auch immer Sie sich vorstellen können). Dieser iframe könnte klein, transparent und so angelegt sein, dass er nur den Bereich freigibt, auf den der Angreifer möchte, dass Sie klicken. Darüber hinaus kann sich dieser Bereich entsprechend Ihrer Mausbewegung verschieben, um sicherzustellen, dass er jeden Klick erfasst, den Sie ausführen. Es gibt viele Beispiele für Clickjacking-Angriffe, denen man ausgesetzt sein kann, und obwohl es stimmt, dass man sie vermeiden könnte, indem man vorsichtig ist, wo man klickt, ist dies immer noch nicht sicher genug. Es wird empfohlen, eine zweite Verteidigungslinie einzurichten, um sich vor dieser Art von Angriffen zu schützen. Diese zusätzliche Verteidigungsebene hat SAP in seinen Clickjacking-Sicherheitshinweisen bereitgestellt, indem nur die Hosts auf die Whitelist gesetzt werden, die über diese Methode auf kritische Dienste verweisen dürfen. Der beste Ausgangspunkt, um zu verstehen, wie man die Clickjacking-Sicherheitshinweise für SAP anwendet, ist das Lesen des Hinweises 2319727. Hier finden Sie eine vollständige Übersicht über die Hinweise, die Sie befolgen müssen, um sowohl Ihre ABAP- als auch Ihre JAVA-Dienste zu schützen. Im Allgemeinen gibt es zwei Gruppen von Hinweisen, eine für JAVA- und eine für ABAP-Plattformen, von denen jede einen Haupt-Hinweis enthält, der Unterstützung für das Whitelist-Framework bietet. Darüber hinaus gibt es eine Untergruppe zugehöriger Hinweise, in denen detailliert beschrieben wird, wie andere spezifische Dienste gesichert werden können. Weitere Details finden Sie weiter unten.

Hinweise zu ABAP-Clickjacking

SAP stellt vier Frameworks zum Schutz verschiedener ABAP-Dienste bereit, die alle auf der Whitelist basieren , die mit dem Hinweis 2142551 „Whitelist-Dienst für den Schutz vor Clickjacking und Framing in AS ABAP“ implementiert wurde . Diese Frameworks werden in den folgenden Hinweisen beschrieben:

• Business Server Page (BSP), beschrieben in Hinweis 2319192.
• SAP GUI for HTML, beschrieben in Hinweis 2319172.
• NetWeaver Business Client (NWBC) für HTML, beschrieben in Hinweis 2319174.
• WebDynpro ABAP, beschrieben in Hinweis 1872800
• .

Wie Sie in der folgenden Abbildung sehen können, gibt es zusätzliche Hinweise, die für die verschiedenen Frameworks angewendet werden müssen, um eine vollständige Umsetzung der Sicherheitshinweise zum Clickjacking zu gewährleisten. Wenn Sie beispielsweise den Hinweis 2319192 (BSP-Clickjacking-Schutz) anwenden möchten, müssen Sie zuvor die Hinweise 2215694 und 2119535 anwenden. Wir empfehlen, die in den einzelnen Framework-Hinweisen aufgeführten Anweisungen zu befolgen, um jeden Hinweis in der richtigen Reihenfolge und mit der richtigen Methode anzuwenden.

Innerhalb des gepunkteten Rechtecks sehen Sie die blau hervorgehobenen Framework-Hinweise. Dazu gehören weitere Hinweise, die für den Abschluss der Installation erforderlich sind. Wie Sie sehen können, hängen alle Framework-Hinweise von Hinweis 2142551 ab. Daher ist es von entscheidender Bedeutung, sicherzustellen, dass dieser Hinweis korrekt umgesetzt wurde, bevor Sie die anderen umsetzen.

Hinweise zu Clickjacking in Java

Wie bei ABAP stellt SAP auch für die verschiedenen Dienste auf JAVA-Basis Frameworks zur Verfügung. Als Voraussetzung muss vor allem der Hinweis 2170590 „Whitelist-Dienst für den ClickJacking-Framing-Schutz in AS JAVA“ angewendet werden, der die grundlegenden Anforderungen für das JAVA-Framework umsetzt. Da JAVA-Hinweise stärker miteinander verflochten sind als Hinweise für ABAP, haben wir im Folgenden weitere Details aufgeführt:

• Web Dynpro JAVA (WDJ), beschrieben in Hinweis 2169860.
  • Dieser Hinweis behandelt insbesondere zwei Arten von Abhilfemaßnahmen: eine unter Verwendung einer Clickjacking-Whitelist und eine unter Verwendung von Header-Änderungen (der Header „X-FRAME-OPTIONS“ mit dem Wert „SAMEORIGIN“). SAP empfiehlt, wann immer möglich, eine Whitelist-Lösung zu verwenden.
  • Ein weiterer Hinweis im Zusammenhang mit WebDynpro ist der Hinweis 2286679, der Unterstützung für WDP-Entwickler bietet.
• Web Channel Experience Management (WCEM), beschrieben in Hinweis 2244161.
  • Wie bei JAVA Web Dynpro verweist WCEM auf den Hinweis 1781171 (Änderung der Kopfzeile) und den Hinweis 2042829; für dieses Szenario wird eine Whitelist-Lösung jedoch nicht unterstützt.
• Java Server Pages (JSP), beschrieben in Hinweis 2290783.
  • Es wird auf den Hinweis 2286679 (Implementierung und Beschreibung der JAVA-ClickJacking-API) verwiesen.
• Enterprise Portal, beschrieben in Hinweis 2169722.
  • Dieser Hinweis enthält die erforderlichen Maßnahmen zum Schutz des Enterprise Portals (siehe Hinweis 2276701).

Die folgende Abbildung gibt einen vollständigen Überblick über die Zusammenhänge zwischen diesen Notizen:

Der gepunktete Pfeil vom Java-Anwendungsserver zum Web Channel Experience Management stellt eine Beziehung dar, keine Abhängigkeit. Wie in der Beschreibung der ABAP-Hinweise angegeben, umfasst das gepunktete Rechteck die Framework-Hinweise. Alle Framework-Hinweise hängen vom Hinweis 2170590 ab; daher ist es von entscheidender Bedeutung, sicherzustellen, dass dieser Hinweis korrekt implementiert ist, bevor die anderen implementiert werden.

Fazit

Auch wenn Clickjacking kein kritischer Angriff ist und die Umsetzung dieser Hinweise keine besonders einfache Aufgabe darstellt, trägt die Implementierung dieser Lösung dazu bei, die Angriffsfläche zu verringern. Wir empfehlen dringend, alle Sicherheitshinweise entsprechend Ihrer Implementierung anzuwenden und zu installieren. Onapsis Research Labs haben die Onapsis Security Platform aktualisiert, um diese Sicherheitshinweise zu berücksichtigen und sicherzustellen, dass Kunden weiterhin vor Clickjacking-Angriffen geschützt sind. Wir sind fest davon überzeugt, dass dieser Beitrag Ihrem Team dabei helfen wird, die richtige Lösung für komplexe Clickjacking-Sicherheitshinweise zu analysieren und umzusetzen. Für weitere Informationen oder Unterstützung zögern Sie bitte nicht, uns direkt unter [email protected] zu kontaktieren.