Dato un sistema dimostrativo per una fiera che si basa su SAP Netweaver ABAP. La nostra applicazione ha un bug che non può essere risolto facilmente, almeno non in tempo per la fiera. La soluzione alternativa consiste nel fornire agli utenti i diritti di accesso dimostrativi SAP_ALL.
SAP_ALL è una cattiva idea, lo so. Per favore, non discutiamo di quella parte. L'ho già fatto e sarà proprio così.
Non ci preoccupiamo dei dati nel sistema. È un sistema demo IDES e abbiamo un programma che può cancellare i dati (i nostri dati applicativi) e ripristinarli nello stato di consegna o demo. Quindi non è un grosso problema se qualcuno manipola i dati.
Come tester di quel sistema, ho conoscenza delle applicazioni ma non abbastanza conoscenza di amministrazione SAP. Mi chiedo se sarebbe possibile trasferire in qualche modo un eseguibile su quel server (magari tramite CG3Z della transazione) o crearne uno sul server e poi eseguirlo.
IMHO questa sarebbe una superficie di attacco indiscussa e, se fosse possibile, mi darebbe una nuova argomentazione per parlare di nuovo con le persone.
Forse è rilevante: la nostra applicazione ha bisogno di ICM (Internet Communication Manager) e HTTP, quindi una porta sarà aperta.