Anonymous hat geschrieben:Frank Dittrich hat geschrieben:
In einem Produktivsystem sollte es keinen User mit der dazu nötigen Berechtigung geben.
Ich fürchte, das bleibt ein frommer Wunsch ...
Es ist beeindruckend sich vorzustellen, was man damit alles veranstalten kann ....
viele Grüße, Patrick
Dann kann man die Vergabe von Berechtigungen auch gleich bleiben lassen.
Jeder bekommt SAP_ALL, darf direkt im Produktivsystem entwickeln, am besten gleich noch das Password für den allgemein verwendbaren "Prod-Entwickler" im Logon-Bildschirm bekanntgeben.
Es gibt je nach Release und Patch level auch noch andere RFC-fähige SAP-Standard-Bausteine, denen ich den auszuführenden Code in der Schnittstelle mitgeben kann.
Da gibt's noch nicht mal einen AUTHORITY-CHECK - außer S_RFC beim Remote-Aufruf.
RFC_ABAP_INSTALL_AND_RUN hat ja wenigstens noch ein paar AUTHORITY-CHECKS, so dass nicht nur S_RFC zieht.
Wenn ich aber die Möglichkeit habe, den aus einem anderen System (Test/Entwicklung) heraus remote aufzurufen, und der User im Zielsystem hat die Berechtigungen, hat man in einer Viertelstunde jede Menge Backdoors im Produktivsystem, die mit vertretbarem Aufwand niemand mehr findet.
(Klar kriege ich in den meisten Fällen auch per Transport problemlos Backdoors ins Produktivsystem, aber da gibt es bei entsprechendem Aufwand wenigstens die
Möglichkeit, das zu verhindern. Trivial ist das aber nicht. SAP macht es einem Angreifer an vielen Stellen ziemlich leicht.)