मेरी कंपनी की एक आवश्यकता है कि सभी उत्पादन साइटें ऐपस्कैन सुरक्षा स्कैन पास करें। कभी-कभी, जब हम किसी SharePoint स्थापना को स्कैन करते हैं, तो सॉफ़्टवेयर एक अंधेरे एसक्यूएल इंजेक्शन भेद्यता का पता लगाता है। मुझे पूरा यकीन है कि यह एक झूठा सकारात्मक है - ऐपस्कैन शायद अंधेरे इंजेक्शन की सफलता के रूप में HTTP प्रतिक्रिया में कुछ अन्य गतिविधि की व्याख्या कर रहा है। लेकिन यह साबित करना मुश्किल है कि यह मामला है।साक्ष्य है कि SharePoint में कोई SQL इंजेक्शन भेद्यता नहीं है?
मुझे लगता है कि SharePoint, दोनों MOSS 07 और WSS 3.0, का उपयोग करता है संग्रहित प्रक्रियाओं विशेष रूप से पर्दे के पीछे। क्या किसी को पता है कि माइक्रोसॉफ्ट से इस प्रभाव के लिए कोई दस्तावेज है, और इसके अलावा, क्या संग्रहीत प्रक्रियाओं में से कोई गतिशील रूप से जेनरेट किए गए एसक्यूएल का उपयोग करता है? अगर सब कुछ स्पॉक्स थे, और उनमें से कोई भी गतिशील नहीं था, तो हमारे पास बहुत अच्छे सबूत होंगे कि SharePoint में कोई SQL इंजेक्शन भेद्यता नहीं है।
सुपर-सतर्क होने वाली एकमात्र चीज यह है कि डेटाबेस में किसी भी संशोधन को माइक्रोसॉफ्ट द्वारा असमर्थित माना जाता है। तो बस इस बात से अवगत रहें कि यदि आपके किसी भी डीबीए "tweaks" बनाना या "मॉनीटर" इंस्टॉल करना चाहते हैं। कोरी की टिप्पणी के लिए –
+1 – vitule