Die beiden Hinweise 33159712 <\/sup>und 33159793<\/sup> (Schwachstellen-Nummer CVE-2023-30742 und CVE-2023-29188) thematisieren ein m\u00f6gliches Cross-Site Scripting (XSS) in der Anwendung SAP CRM WebClient UI. XSS \u2013 da war doch was? Richtig: Hinweis 3293786 betraf auch diese Schwachstellenart; und damals ging um den Vergleich zwischen Input Validation<\/em> und Output Encoding<\/em>.<\/p>\n\n\n\n Der reinen Lehre nach soll als Gegenma\u00dfnahme f\u00fcr XSS ein Output Encoding<\/em> \u2013 als kontextspezifisches Anpassen von technisch relevanten Zeichen eingebaut werden. Sie kennen das vielleicht, wenn aus dem Ausdruck Hello World<> entweder Hello World<> (bei HTML-Inhalten) oder Hello%20World%3C%3E (bei URLs) entsteht. Eine solche Konvertierung wird in ABAP-Programmen z.B. \u00fcber den Befehl ESCAPE erreicht.<\/p>\n\n\n\n Die o.g. Hinweise f\u00fchren jedoch eine Art Input Validation<\/em> durch, indem kritische Zeichen f\u00fcr einen XSS-Angriff herausgefiltert werden:<\/p>\n\n\n\n Prinzipiell kann eine solche Filterung auch zum Erfolg f\u00fchren \u2013 die Herausforderung besteht darin, die Filter vollst\u00e4ndig zu gestalten und auch alle kritischen Zeichen zu erwischen: was ist z.B. mit dem \u201c\u2018\u201c (single quotation mark) anstelle der Anf\u00fchrungszeichen? Der Kreativit\u00e4t der Angreifer ist keine Grenze gesetzt \u2013 Tipp: mal nach dem Stichwort \u201eXSS Cheat Sheet\u201c googeln. Bis zum n\u00e4chsten Mal, wenn wir uns zum Juni Patch Day melden!<\/p>\n\n\n\n [1]<\/a> https:\/\/launchpad.support.sap.com\/#\/notes\/3326210<\/a><\/p>\n\n\n\n [2]<\/a> https:\/\/launchpad.support.sap.com\/#\/notes\/3315971<\/a><\/p>\n\n\n\n [3]<\/a> https:\/\/launchpad.support.sap.com\/#\/notes\/3315979<\/a><\/p>\n\n\n\n![\"\"](\"https:\/\/smartersec.com\/wp-content\/uploads\/2023\/05\/image-1.png\")
<\/figure>\n\n\n\n
Da aber in jedem Fall durch die Validierung die Sicherheit gesteigert wird und keine funktionalen Defizite m\u00f6glich sind, wurden die Hinweise (problemlos) eingebaut.<\/p>\n\n\n\n