क्या एसक्यूएल इंजेक्शन हमले एसक्यूएल कॉमांड के अलावा किसी अन्य चीज़ के माध्यम से निष्पादित किया जा सकता है?

Question

यदि मेरे पास एक एएसपी.NET वेब एप्लिकेशन है जिसमें SQL सर्वर डेटाबेस है, तो यह मानना ​​सुरक्षित है कि यदि कोई SQL इंजेक्शन हमला किया जा रहा है तो यह SqlCommand कक्षा के उदाहरण से गुजर जाएगा?

पृष्ठभूमि:

मैं एक स्थिति है जहाँ मैं एक नहीं बल्कि बड़े वेब अनुप्रयोग कुछ SQL इंजेक्शन कमजोरियों है कि विरासत में मिला है में हूँ। मुझे अन्य मुद्दों के लिए कोड को देखकर कई मिल गए हैं, लेकिन मुझे आश्चर्य है कि सभी एसक्यूएल इंजेक्शन भेद्यताएं खोजने का एक सुरक्षित तरीका SqlCommand के उदाहरणों के लिए सभी फाइलों को खोजना होगा और फिर यह देखने के लिए जांच करें कि वे पैरामीट्रिज्ड प्रश्न हैं या नहीं। क्या यह एक ठोस योजना है?

Answer 1

मैं विशेष रूप से सिर्फ नहीं लग रही हैं SqlCommand के लिए - कोड DBCommand या IDbCommand इस्तेमाल कर सकते हैं। इसे ईएफ, एल 2 एस या एनएचबर्ननेट जैसे ओआरएम में लपेटा जा सकता है (सभी कच्चे उपयोग के कुछ स्तर की पेशकश करते हैं)। यह कुछ "डैपर" या simple.data जैसे कुछ का उपयोग कर सकता है। या डेटाटेबल/डेटा एडाप्टर। आपके पास कोड हो सकता है जो विरासत ओएलडीडीबी या एडीओडीबी एक्सेस का उपयोग करता है। बिल्ली, हम सभी जानते हैं कि आप अपना खुद का निम्न-स्तर वाला टीडीएस एपीआई लिख सकते थे।

तो: यह डेटा एक्सेस कोड की जांच करने के लिए नीचे आता है, जो कई रूप ले सकता है। यदि आपका विभागीय दृष्टिकोण "SqlCommand सीधे उपयोग करें" है, तो यह चीजों को बदल देता है।

इसके अलावा: एसक्यूएल इंजेक्शन नेट तक सीमित है नहीं - तुम, उदाहरण के लिए, एक कच्चे आदेश पाठ में एक एसक्यूएल इंजेक्शन जोखिम बना सकते हैं या प्रक्रिया संग्रहीत भी अगर आप parameterise, अगर TSQL संयोजन के किसी भी प्रकार से करता है EXEC के माध्यम से आवंटित करने के लिए गतिशील एसक्यूएल बनाने के लिए। ध्यान दें कि sp_executesql उसमें मदद कर सकता है।

Answer 2

तुम भी चीजें हैं जो उपयोग या एक SqlCommand शामिल देखने के लिए की आवश्यकता होगी। इनमें SqlDataAdapter शामिल हैं, दूसरों के बीच।

Answer 3

सिर्फ इसलिए कि आप एक parametrized क्वेरी लाइब्रेरी का उपयोग कर रहे हैं इसका मतलब यह नहीं है कि इसका उपयोग ठीक से किया जाता है। ऑडिटिंग कोड के दौरान मैंने उन मामलों को देखा है जहां पैरामीट्रिज्ड क्वायर का उपयोग किया जा रहा है, लेकिन क्वेरी के कुछ हिस्सों को स्ट्रिंग कॉन्सटेनेशन का उपयोग करके अभी भी बनाया गया है। अधिक विशेष रूप से तालिका का नाम और क्वेरी का सीमा/आदेश भाग सामान्य गलतियां हैं।

यदि आप स्थिर विश्लेषण पर पूरी तरह से सेट हैं तो सर्वोत्तम शर्त आवेदन में सभी प्रश्नों के लिए grep है और फिर सुनिश्चित करें कि प्रत्येक व्यक्ति ठीक से बनाया गया है। हां इसमें काफी समय लगेगा, और यह दिमागी धुंधला हो सकता है। ब्रेक लें, नोट्स लें और दबाएं। जब आप एसक्यूएल इंजेक्शन पाते हैं तो यह पुरस्कृत होगा!

Answer 4

आपके डेटाबेस स्कीमा के आधार पर आपको संग्रहीत प्रोसेस में हमलों की जांच करने की आवश्यकता हो सकती है (माना जाता है कि आप संग्रहित प्रोसेस का उपयोग कर रहे हैं)। मैंने देखा है लोगों को अपने कोड में paramterised संग्रहित प्रक्रियाओं का उपयोग करें, लेकिन proc में वे सिर्फ क्वेरी करने के लिए EXEC का उपयोग करें:

CREATE PROC Dummy 
(
    @Str VARCHAR(50) 
) 
AS 
EXEC ('SELECT * FROM Table Where Column = ''' + @Str + '''')