Безопасность продуктива и LSMW

Один из хороших людей написал для нас всех материал, которым стоит поделиться. Речь про дырки в системах, про безопасность продуктива и как ее обойти с помощью LSMW — инструмента миграции данных, стандартного для проектов SAP.

Как обычно в работе консультанта периодически возникает «крайняя необходимость» что-нибудь поправить в таблице или в отладчике поправить переменную, а добрые дядечки из службы безопасности и столь же добрые администраторы, давно решили что это нам не нужно да и вообще, сложилось впечатление, что лучше всего когда мы не работаем в системе за компом, а смотрим на нее из далека и на ментальном уровне мигрируем данные или разбираем инциденты сыплющиеся как из рога изобилия на наши больные после вчерашнего долгого трудового дня головы.

И вот тут то нам может помочь один из способов махонького поправления настроек системы в нужную сторону (все что нам требуется — это «совсем крохотные» полномочия на s_develop). Один из них я ниже и постараюсь описать. Выбор пал на LSMW, и так сказать упал он не случайно, так чаще всего project, subproject и object создавать все же разрешают, но полномочиями на ABAP-редактор в продуктивной системе все те же добрые люди не делятся. Но лиха беда начало! Если есть доступ к системе разработки, в которой такой подарок судьбы вполне имеет право существовать, да и даже в случае если таких полномочий нет, не стоит отчаиваться, редактирование текста LSMWэшки в «Блокноте» нам и вам в помощь. Итак, смысл в том, что проект LSMW можно как экспортировать, так и импортировать, поэтому грех не воспользоваться такой прекрасной возможностью.

Читать далее


Способы «взлома» системы SAP

Представьте, что у вас есть продуктив, где права порезаны. Надо поменять данные в системе (исправить ошибку). Легальные пути все знают. А если надо? Ниже мои варианты, которые могут работать или нет в зависимости от того, насколько хорошо настроена безопасность в системе:

  • Доступ к таблицам через SE16N
  • Создание программы и выполнение кода
  • Создание инфо-набора, и в разделе кода прописать ABAP код (не нужен ключ разработчика)
  • Создание LSMW для изменения данных путем формирования IDOC И его обработки
  • Прямой вызов функционального модуля через SE37
  • Изменение через отладчик
  • Вызов веб-сервиса извне (они могут выполняться под системным пользователем)
  • Выполнение ITS сервиса, который меняет данные (если есть такой) через транзакцию SICF

Данные способы «взлома» системы SAP нужно рассматривать исключительно в образовательных целях и не использовать на промышленных системах. Автор не несет ответственности за последствия причиненные третьим лицам.


Безопасность тарифов и окладов

Есть задача. Если в одном манданте работает несколько предприятий, то структура тарифов и окладов хранятся в одной и той же таблице, которую пользователи могут посмотреть. Это T510, T710 соответственно. Получается, что любой человек, кто имеет доступ к инофтипам, где указывается тариф/оклад (0008, 1005, 2001, 2002, 2003).

Читать далее