界: API Abuse
API 是调用方和被调用方之间的约定。最常见的 API 滥用是由于调用方未能遵守此约定的终止导致的。例如,如果某个程序在调用 chroot() 后未能调用 chdir(),则违反了用于指定如何安全地更改活动根目录的约定。库滥用的另一个典型示例是期望被调用方向调用方返回可信的 DNS 信息。在这种情况下,调用方通过对被调用方行为做出某种假设(返回值可用于身份验证目的)滥用其 API。另一方也可能违反调用方-被调用方约定。例如,如果编码器子类化 SecureRandom 并返回一个非随机值,则将违反此约定。
System Field Overwrite
Abstract
覆盖系统字段会打破系统的正常稳定运行。
Explanation
ABAP 系统字段在 ABAP 程序中始终可用。运行时系统会在启动程序后、发送屏幕后和更改内部模式后,根据上下文填充这些字段。然后,这些字段可在程序中用于查询系统状态。系统字段为变量,但应始终将其作为常量和只读字段处理。更改这些字段的值会导致程序运行所需的重要信息丢失。因此,在客户 ABAP 程序中只能更改其中有限的字段。
对向 ABAP 程序传送运行时特定信息的系统字段值进行更改,会导致服务中断或 ABAP 程序行为异常。
对向 ABAP 程序传送运行时特定信息的系统字段值进行更改,会导致服务中断或 ABAP 程序行为异常。
References
[1] ABAP System Fields SAP
[2] Standards Mapping - Common Weakness Enumeration CWE ID 642
[3] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-001094
[4] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data
[5] Standards Mapping - NIST Special Publication 800-53 Revision 4 SC-5 Denial of Service Protection (P1)
[6] Standards Mapping - NIST Special Publication 800-53 Revision 5 SC-5 Denial of Service Protection
[7] Standards Mapping - OWASP Top 10 2021 A04 Insecure Design
[8] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002400 CAT II
[9] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-002400 CAT II
[10] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-002400 CAT II
desc.structural.abap.system_field_overwrite