ABAP und ABAP OO: Programme auf Berechtigungsprüfungen analysieren

Autor: Tobias Harmes | 4. April 2012

1 | 12 | #AUTHORITY-CHECK, #SE38

In Berechtigungsprojekten kommt immer auch das Thema Berechtigungsprüfungen von Eigenentwicklungen auf die Tagesordnung. Oft genug ist das Programm mangelhaft dokumentiert, der Programmierer fort und es waren schlicht und einfach zum Entwicklungszeitpunkt keinerlei Anforderungen gestellt worden. Folgende Werkzeuge und Einstiege kann man zur Analyse von Quelltexten einsetzen. Gesucht wird immer nach 'AUTH' oder 'AUTHORITY-CHECK'

Standard ABAP

Im Einstieg des ABAP Editors unter Hilfsmittel->”Suchen in Source”:

Das ist quasi die eingebaute Funktion, die aber kaum Komfort bietet.

Ihr Plan für bessere SAP Berechtigungen

In dem Strategieworkshop SAP Berechtigungen entwickeln wir für Sie eine Strategie zur Optimierung der SAP Sicherheit und Reduzierung der Betriebsaufwände.

Scan mit Report RSABAPSC:

Dieser Report erlaubt die direkte Angabe einer Transaktion und eine rekursive Suche in Quelltexten, macht aber keine Verzweigung in Klassen. Wenn also ein AUTHORITY-CHECK in einer Methode aufgerufen wird, wird das von dem Report nicht angezeigt.

RSABAPSC Quelltext durchsuchen

Scan mit Report RPR_ABAP_SOURCE_SCAN (alternativ auch RS_ABAP_SOURCE_SCAN):

Der Report löst Includes aber keine Funktionsbausteine und Klassen auf. Dafür ist er sehr schnell und kann reguläre Ausdrücke verwenden.

RPR_ABAP_SOURCE_SCAN Quelltext durchsuchen

Objektorientiertes ABAP (ABAP OO)

Möchte man für Sourcecode Suche für ABAP OO mit Klassen und Methoden einsetzen kann man den Report RPR_ABAP_SOURCE_SCAN trotzdem nutzen mit folgendem Kunstgriff:

  • erst das aufrufende Programm analysieren
    • den Reportnamen angeben und als Suchstring ‘=>’ verwenden
    • die Ergebnismenge per copy&paste in Excel parsen. Trenner: Leerzeichen,’=’
  • das Ergebnis ist dann der Input für eine Suche über die Klassennamen

ABAP Allgemein

Einstieg über Berechtigungstrace via ST01

Via ST01 das Programm und die Berechtigungsprüfungen mit-tracen und dann via Vorwärtsnavigation und F5 in den SourceCode abspringen.

ST01 Berechtigungstrace

Informationen aus der SU24

Siehe dazu meinen Blogbeitrag: Pflege der SAP Berechtigungsvorschlagswerte in der SU24

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

Ein Kommentar zu "ABAP und ABAP OO: Programme auf Berechtigungsprüfungen analysieren"

Hallo,

danke für die verständliche Aufbereitung.
Der Report RSABAPSC ist mittlerweile leider veraltet und kann bei uns nicht mehr gestartet werden. Der RS_ABAP_SOURCE_SCAN funktioniert zwar, aber gerade die FuBa Analyse wäre sehr hilfreich.

Freundliche Grüße

Simon Feil

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice