Clickjacking-Schutz in webbasierten SAP-Anwendungen

9. März 2017 von Phil Rüdiger

Auf einer manipulierten Webseite kann es mittels Clickjacking dazu kommen, dass durch einen Mausklick des Benutzers eine unerwünschte Aktion durchgeführt wird. Die Möglichkeiten erstrecken sich hierbei von einer Umleitung zu einer betrügerischen Website, Ausspähen von Daten wie Passwörtern bis hin zum Abschluss von Bezahlabonnements.

Einen Schutz gegen Clickjacking hat die SAP bereits im Fiori Launchpad vorgesehen. Wurde das Fiori Launchpad (FQDN: flp.abap.sap.com) in einem Enterprise Portal (FQDN: ep.java.sap.com) ohne WebDispatcher eingebettet, so wurde jegliche Benutzerinteraktion unterbunden. Der Hinweis 2057847 beschrieb bis zu seiner Aktualisierung einen Workaround, der aus der Kopie der Original-BSP-Seite bestand. Eine Modifikation, in der der entsprechende Codingabschnitt für das Clickjacking auskommentiert werden musste.

Die SAP hat inzwischen eine bessere, modifikationsfreie Methode geschaffen: einen Clickjacking-Service mit Whitelist-Funktionalität. Weiterhin wurden die Netweaver AS ABAP und Netweaver AS Java Technologien mit dem Schutz ausgerüstet. Somit gibt es mehrere Konfigurationsmöglichkeiten, womit die Clickjacking-Prüfung deaktiviert werden kann. Unter anderem:

  • UI5-Anwendungen: über eine BAdI-Implementierung (Hinweis 2245332)
  • WebDynpro-Anwendungen: über einen SICF-Service inkl. Whitelist-Tabelle (Hinweis 1872800)
  • Enterprise Portal: über einen Java-Service und Whitelist-Tabelle in der NW-Administration (Hinweis 2169722)

Bei der Integration von UI5-Anwendungen/NW AS ABAP Anwendungen in einen NW AS Java, wie beispielsweise Integration von UI5-Anwendungen über das Enterprise Portal, müssen sowohl der AS ABAP als auch der AS Java die Clickjacking-Services unterstützen. Ist nur auf einem der beiden Systeme der Service installiert, wird die Funktionalität nicht sichergestellt. Die Anwendung ist damit gegen Eingaben geschützt.

Weitere Informationen, sowie Absprünge zu weiteren Hinweisen mit Konfigurationsbeispielen/-hilfen können Sie dem folgenden Hinweis entnehmen: 2319727 – Clickjacking-Schutz in SAP NetWeaver AS ABAP und AS Java.

Schreibe einen Kommentar

Haben Sie eine Frage oder können Sie zu dem Thema etwas beitragen? Wir freuen uns über Ihren Kommentar.

*