技术文章
#SafeSAPUI5 - EP09
你好,
***默认标头***
目的是展示SAPUI5开发人员(因为他们中的大多数来自ABAP世界)为什么需要upskill有了“安全编程”的知识和技能,我决定创建# SafeSAPUI5.
是什么# SafeSAPUI5?
- SAPUI5应用程序上暴露的安全漏洞的一系列例子(当然是负责任的披露,不显示姓名,服务器等)。这里的想法不是指责,而是把某人犯的“习得性错误”教育给所有人。我认为这是第一部创作者“希望”减少集数的电视剧☺️。
- 鼓励开发人员也使用标签# SafeSAPUI5网上有趣的文章,课程(为什么不呢?),电子书甚至自制材料,这将有助于SAPUI5开发人员提高他们的知识技能,特别是在安全部分,也带来了一些可能没有想到的例子。
我尽量让每件事都尽可能简短,但研究、分析、测试、联系客户、报告和修复漏洞需要很长时间(这里没有真正描述)。
SAP有一个官方漏洞赏金计划,请阅读更多这链接。如果您想报告发现的SAP漏洞,请使用官方链接在这里.
***默认标头***
在这里也保留了所有重要的话题:safesapui5.web.app
好吧……现在是9集我们有:”各种各样的……”⚠️⚠️⚠️:
这次我不打算谈论一个有大安全问题的特定客户,而是谈论3个有“较小”类型问题的客户,但这些问题也可能被坏人利用。
1 -客户使用UserRequestManagement请求用户密码重置:
正如我们在我的第一保安岗位,此服务也可用于创建用户…
通知他们“阻止”服务的用户创建“部分”,不允许远程用户创建…
2 -客户有一些Odata服务返回超时查询没有参数:
如下图所示,超时服务:
可以用来执行吗Dos / DDos攻击他们的服务,因为他们消耗了大量的内存,因为可能有SELECT *语句在后端…通知他们修复这个问题,保持他们的服务“干净”。
3 -谷歌分析可用ID:
一个客户使用谷歌分析在整个应用程序上跟踪他们的用户数据:
但是ID来自OData后端实体,为了尝试“隐藏”这个ID(不作为硬代码留在前端本身),试图防止劫持攻击或其他类型的分析攻击(特别是他保存在那里的数据类型)。你可以找到更多关于谷歌分析类型的攻击在这里和在这里.
基本上他们都被通知了这个漏洞,现在可以更多地关注安全解决方案。
PS:请检查集08年,如果你还没有。
谢谢。
# SafeSAPUI5