Prime Institute
¡Caminando hacia el éxito!

Aprende en Comunidad

Avalados por :

Vulnerabilidad de seguridad en sistemas SAP: ¿Cómo ejecutar programas sin grupo de autorización en SE38?

Crear
  • Creado 01/03/2024
  • Modificado 01/03/2024
  • 80 Vistas
0
Cargando...

Saludos a todos,

Hasta donde sé, los usuarios con acceso a SE38 pueden ejecutar cualquier programa ABAP que no esté asignado a un grupo de autorización (y no tenga una verificación de autorización en el código, supongo). Mi comprensión es que esta es una vulnerabilidad de seguridad en los sistemas SAP que siempre ha sido destacada en la literatura de seguridad de SAP.

Planteé este problema a nuestro administrador de base y realizamos una pequeña prueba de la siguiente manera:

Creamos un usuario de prueba y le dimos solo el siguiente acceso:

S_TCODE

SE38

S_Program

actividad: Enviar

Auth: *

Cuando intentamos ejecutar programas que no tienen asignado un grupo de autorización con este usuario, NO pudimos hacerlo, recibimos un mensaje que decía "No tiene autorización para ejecutar el informe SE80/SE38".

¿Cómo puede ser esto? ¿Cuáles son las autorizaciones necesarias para poder ejecutar programas no asignados a grupos de autorización a través de SE38?

Se agradece su pronta respuesta.

Muchas gracias de antemano

Issam

SAP ABAP
Pedro Pascal
Se unió el 07/03/2018
Responder
Pinterest
Telegram
Linkedin
Whatsapp

4 Respuestas

0
Cargando...

Hola,

El ENVIAR : Inicia la autenticación del programa que permite el acceso solo a los informes que tienen asignación a grupos de autenticación. Cada vez que intentes acceder a un informe sin grupo de autenticación asignado, lanzará el mismo error.

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019
Agregar
0
Cargando...

Parece que según tu publicación no necesitas las respuestas estándar de "no des SE38".

¿Puedes dar algunos ejemplos de programas? Mi suposición es que los programas que estás intentando ejecutar tienen una verificación de autenticación predeterminada en otro objeto que se lleva a cabo justo al principio de la ejecución del programa.

Un rastreo ST01 podría confirmar o refutar esto.

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019
Agregar
0
Cargando...

Nunca debes dar acceso a transacciones genéricas como SE38/SE80.

En su lugar, crea una nueva transacción Z utilizando SE93 para el informe y asígnala al informe.

Luego asigna la nueva transacción Z a tu rol y no arriesgas problemas con SE38 con auditores, etc.

/fredrik

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019
Agregar
0
Cargando...

Recomiendo no dar acceso al usuario final a SE38.. en su lugar, utiliza SA38, si no quieres crear una transacción para el informe.

La mejor manera de garantizar que el usuario no pueda acceder al informe es aplicar controles de seguridad en el propio código.

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019
Agregar

Partners:

Libro de reclamaciones Libro de reclamaciones

contacto@primeinstitute.com

(+51) 1641 9379
(+57) 1489 6964

© 2024 Copyright. Todos los derechos reservados.

Desarrollado por Prime Institute

¡Hola! Soy Diana, asesora académica de Prime Institute, indícame en que curso estas interesado, saludos!
Hola ¿Puedo ayudarte?