跳到内容
技术文章
作者简介照片Jos万博新体育手机客户端e Sequeira

#SafeSAPUI5 - EP09

你好,

***默认标头***

目的是展示SAPUI5开发人员(因为他们中的大多数来自ABAP世界)为什么需要upskill有了“安全编程”的知识和技能,我决定创建# SafeSAPUI5

是什么# SafeSAPUI5

  1. SAPUI5应用程序上暴露的安全漏洞的一系列例子(当然是负责任的披露,不显示姓名,服务器等)。这里的想法不是指责,而是把某人犯的“习得性错误”教育给所有人。我认为这是第一部创作者“希望”减少集数的电视剧☺️。
  2. 鼓励开发人员也使用标签# SafeSAPUI5网上有趣的文章,课程(为什么不呢?),电子书甚至自制材料,这将有助于SAPUI5开发人员提高他们的知识技能,特别是在安全部分,也带来了一些可能没有想到的例子。

我尽量让每件事都尽可能简短,但研究、分析、测试、联系客户、报告和修复漏洞需要很长时间(这里没有真正描述)。

SAP有一个官方漏洞赏金计划,请阅读更多链接。如果您想报告发现的SAP漏洞,请使用官方链接在这里

***默认标头***

在这里也保留了所有重要的话题:safesapui5.web.app

好吧……现在是9集我们有:”各种各样的……⚠️⚠️⚠️:

这次我不打算谈论一个有大安全问题的特定客户,而是谈论3个有“较小”类型问题的客户,但这些问题也可能被坏人利用。

1 -客户使用UserRequestManagement请求用户密码重置:

UserRequestManagement

UserRequestManagement

正如我们在我的第一保安岗位,此服务也可用于创建用户

201% 2 c % 20创建

通知他们“阻止”服务的用户创建“部分”,不允许远程用户创建…

2 -客户有一些Odata服务返回超时查询没有参数:

如下图所示,超时服务:

超时% 20服务% 20曝光

超时服务公开

可以用来执行吗Dos / DDos攻击他们的服务,因为他们消耗了大量的内存,因为可能有SELECT *语句在后端…通知他们修复这个问题,保持他们的服务“干净”。

3 -谷歌分析可用ID

一个客户使用谷歌分析在整个应用程序上跟踪他们的用户数据:

谷歌分析(Google Analytics)对Quanto Antes的解析器存在缺陷

分析% 20 id

分析ID

但是ID来自OData后端实体,为了尝试“隐藏”这个ID(不作为硬代码留在前端本身),试图防止劫持攻击或其他类型的分析攻击(特别是他保存在那里的数据类型)。你可以找到更多关于谷歌分析类型的攻击在这里在这里

基本上他们都被通知了这个漏洞,现在可以更多地关注安全解决方案。

PS:请检查集08年,如果你还没有。

谢谢。

# SafeSAPUI5

指定的标签

      第一个留言吧
      你一定是登录评论:评论或回复帖子