1. घर
  2. सवाल और जवाब
  3. साक्ष्य है कि SharePoint में कोई SQL इंजेक्शन भेद्यता नहीं है?

साक्ष्य है कि SharePoint में कोई SQL इंजेक्शन भेद्यता नहीं है?

2008-11-21 12 views
7

मेरी कंपनी की एक आवश्यकता है कि सभी उत्पादन साइटें ऐपस्कैन सुरक्षा स्कैन पास करें। कभी-कभी, जब हम किसी SharePoint स्थापना को स्कैन करते हैं, तो सॉफ़्टवेयर एक अंधेरे एसक्यूएल इंजेक्शन भेद्यता का पता लगाता है। मुझे पूरा यकीन है कि यह एक झूठा सकारात्मक है - ऐपस्कैन शायद अंधेरे इंजेक्शन की सफलता के रूप में HTTP प्रतिक्रिया में कुछ अन्य गतिविधि की व्याख्या कर रहा है। लेकिन यह साबित करना मुश्किल है कि यह मामला है।साक्ष्य है कि SharePoint में कोई SQL इंजेक्शन भेद्यता नहीं है?

मुझे लगता है कि SharePoint, दोनों MOSS 07 और WSS 3.0, का उपयोग करता है संग्रहित प्रक्रियाओं विशेष रूप से पर्दे के पीछे। क्या किसी को पता है कि माइक्रोसॉफ्ट से इस प्रभाव के लिए कोई दस्तावेज है, और इसके अलावा, क्या संग्रहीत प्रक्रियाओं में से कोई गतिशील रूप से जेनरेट किए गए एसक्यूएल का उपयोग करता है? अगर सब कुछ स्पॉक्स थे, और उनमें से कोई भी गतिशील नहीं था, तो हमारे पास बहुत अच्छे सबूत होंगे कि SharePoint में कोई SQL इंजेक्शन भेद्यता नहीं है।

स्रोत

2008-11-21 Anonymous

उत्तर

2

वे सभी संग्रहीत procs नहीं हैं। विशेष रूप से, क्रॉस-सूचियों जैसी चीजें कुछ भयानक वाक्यविन्यास उत्पन्न करती हैं। उदाहरण के लिए, this article से SQL ट्रेस विंडो देखें। साथ ही, चूंकि दोनों उपयोगकर्ता नियंत्रण और एपीआई कॉल डेवलपर्स द्वारा लिखे जा सकते हैं, इसलिए कोई गारंटी नहीं है कि आप कस्टम मॉड्यूल का उपयोग कर रहे हैं तो आप SQL इंजेक्शन के अधीन नहीं हैं।

मेरा अनुमान होगा कि SharePoint हमेशा बहुत कम से कम, नाम वाले पैरामीटर पर उपयोग करता है। हालांकि, आपका सबसे अच्छा विकल्प एसक्यूएल ट्रेस चलाने और परिणामों की तुलना करने के लिए हो सकता है। इसके अलावा, यदि आप एक बड़े पर्याप्त ग्राहक हैं, तो आप बस अपने स्थानीय एमएसएफटी प्रचारक (या connect.microsoft.com पर एक प्रश्न पोस्ट करने) का प्रयास कर सकते हैं और देख सकते हैं कि क्या आप प्रतिक्रिया प्राप्त कर सकते हैं।

स्रोत

2008-11-21 17:21:17

1

धन्यवाद। मैंने खुद प्रोफाइलर को देखा और कुछ चीजें पाई: ऐसा लगता है कि शेयरपॉइंट केवल संग्रहीत प्रक्रियाओं को निष्पादित कर रहा है। शुद्ध एसक्यूएल के कभी-कभी बिट होते हैं, लेकिन ये "exec sp_oledb_ro_usrname" और "collationname (...)" का चयन करते हैं, जो कि कुछ गहरी नीचे की आंतरिक चीज़ प्रतीत होता है, और संभवतः एसक्यूएल के रूप में निष्पादित नहीं किया जा रहा है सब, लेकिन अभी इस तरह प्रोफाइलर में बाहर आ रहे हैं ...?

SharePoint कभी कभी sp_executesql का उपयोग करता है, लेकिन यह एक पैरामिट्रीकृत कॉल है और इसलिए शायद इंजेक्शन से सुरक्षित है।

स्रोत

2008-11-21 18:56:02

+1

सुपर-सतर्क होने वाली एकमात्र चीज यह है कि डेटाबेस में किसी भी संशोधन को माइक्रोसॉफ्ट द्वारा असमर्थित माना जाता है। तो बस इस बात से अवगत रहें कि यदि आपके किसी भी डीबीए "tweaks" बनाना या "मॉनीटर" इंस्टॉल करना चाहते हैं। कोरी की टिप्पणी के लिए –

+0

+1 – vitule

-1

वहाँ अपेक्षाकृत नया अंधा एसक्यूएल इंजेक्शन वैक्टर जो प्रतिक्रिया देरी के आधार पर कर रहे हैं की एक संख्या है - WAITFOR DELAY का उपयोग कर उदाहरण के लिए। कम से कम sqlmap और BurpSuite उनका उपयोग करें (और शायद अन्य भी)।

ये वाहक लेकिन झूठे सकारात्मक से ग्रस्त हैं, क्योंकि ट्रिगर है, ठीक है, HTTP प्रतिक्रिया देरी है, जो भी हजार अन्य कारणों से हो सकता है आप इंटरनेट पर स्कैनिंग कर रहे हैं। यदि आपको इन लैन पर मिल गया है, तो मैं अधिक संदिग्ध होगा लेकिन फिर भी सर्वर के पक्ष में अन्य संभावित देरी कारणों की जांच करता हूं। केवल अगर आपको कई स्वतंत्र प्रयासों में लगातार देरी मिलती है, तो आप शायद भेद्यता से निपट रहे हैं।

भी ध्यान रखें कि SharePoint अक्सर कई vuln स्कैनर, जो भी झूठे सकारात्मक हैं में पुराने FrontPage कमजोरियों से चलाता है - विवरण इस लेख "SharePoint and FrontPage Server Extensions in security scanner results" देखने के लिए।

स्रोत

2013-11-01 14:11:01 kravietz

संबंधित मुद्दे

 संबंधित मुद्दे