SAP Audit: tabella TVARV

Posted by Massimo Manara on Apr 1, 2020 8:15:00 AM
Massimo Manara
Find me on:

A cosa serve e perché potrebbe essere importante controllarla in fase di audit?

 

 

SAP AUDIT

A cosa serve la tabella TVARV

Questa tabella è stata definita da SAP per ospitare delle variabili da utilizzare poi nelle varianti di esecuzione di report.

 

In passato esisteva solamente questa tabella, la TVARV appunto, valida cross client. Dalla release SAP_BASIS 6.10 esiste una ulteriore tabella TVARVC ovvero una tabella dipendente dal mandante.

 

Analogamente sono state definite delle transazioni ad hoc per mantenere il contenuto di questa tabella: STVARV and STVARVC. Vedi anche OSS note 1994216 - How to maintain variant variables in table TVARVC

 

Ma per quel motivo potrebbe essere critica?

Di per sé non è una funzionalità critica. Chiaramente è una tabella delicata da mantenere. Potrei, cambiando dei valori influenzare i risultati di report o programmi.

 

Quando quindi può creare dei punti di attenzione da tenere presente?

 

Potrebbe diventare più critica se, tramite la definizione di variabili custom, vado a definire delle logiche di comportamento all'interno dei programmi.

 

In altre parole se una certa variabile presente in tabella influenza il comportamento di un programmi custom, potrei modificare una variabile per ottenere dei risultati diversi.

Mentre nello standard potrebbero esserci criticità?

 

La nota "OSS 1903484 - RFFOAVIS_FPAYM: Spool authorization for payment advice note print output" descrive un modo per far sì che il programma di stampa degli avvisi di pagamento introduca una etichetta (classificazione), su ogni stampa per far si che queste stampe siano visibili solo da determinate persone autorizzate. Proprio nel caso in cui venga utilizzata una variante di selezione.

 

In questo caso la modifica di questo valore nella tabella potrebbe comportare la stampa di questi dati in maniera non classificata permettendo di vedere il contenuto anche a persone non autorizzate.

 

Cosa fare quindi?

Durante le attività di audit controlla:

  1. Chi mantiene e chi ha accesso alla tabella
  2. Se le variabili sono tutte standard oppure se ci sono delle variabili custom che influenzano il comportamento dei programmi. Es. se hai quella variabile impostata puoi fare una azione o meno.

 

Iscriviti al blog se ancora non lo hai fatto!

Topics: secure coding sap, audit sap

Voglio iscrivermi!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutto