SAP-Anwendungen live hacken und verteidigen: Clean Core, Dark Shadows

In dieser Folge stellen wir zwei hochriskante Bedrohungsszenarien vor, die auf realen Vorfällen basieren und auf die sich jeder SAP-Kunde vorbereiten muss:

• Das Trojanische Pferd: Wirtauchen tief in den ABAP-Kern ein, um zu zeigen, wie ein böswilliger Entwickler oder Auftragnehmer Standardprüfungen umgehen und eine ausgeklügelte Hintertür in ein ABAP-Programm einschleusen kann. Durch das Einfügen weniger Zeilen bösartigen Codes verschafft sich der Angreifer SAP_ALL-Rechte, die es ihm ermöglichen, Finanzdaten und Stammdaten in der Produktionsumgebung zu verändern und dabei Compliance-Kontrollen zu umgehen.

• Der BTP-Blindspot: Wirzeigen, wie ein harmloser Entwicklerfehler in einer benutzerdefinierten BTP-Anwendung – beispielsweise ein unsicherer API-Endpunkt oder eine fehlerhafte Authentifizierungsprüfung – zu einer offenen Tür zum Kern des Unternehmens wird. Sehen Sie, wie ein Angreifer diese Schwachstelle ohne jegliche Anmeldedaten ausnutzt, um sensible Unternehmensdaten unbemerkt abzugreifen.