SqlCommand以外でSQLインジェクション攻撃を実行できますか？

Question

SQL Serverデータベースを持つASP.NET Webアプリケーションを使用している場合、SQLインジェクション攻撃が行われる場合、SqlCommandクラスのインスタンスを通過すると想定するのは安全ですか？

背景：

私はいくつかのSQLインジェクションの脆弱性があり、むしろ大規模なWebアプリケーションを継承した状況にしています。 SQLインジェクションの脆弱性を発見する安全な方法は、すべてのファイルをSqlCommandのインスタンスで検索し、それらがパラメータ化されたクエリであるかどうかを確認することでしょうか？これは確かな計画ですか？

Answer 1

私は特にSqlCommandオブジェクトのためだけを見ていないだろう - コードがたDbCommandかのIDbCommandを使用することができます。それは、EF、L2S、またはNHibernateのようなORMでラップすることができます（すべては、あるレベルの生のアクセスを提供します）。 "dapper"やsimple.dataのようなものを使うことができます。またはDataTable/DataAdapterレガシーOLEDBまたはADODBアクセスを使用するコードを使用している可能性があります。 Heck、あなたが知っている限り、あなた自身の低レベルのTDS APIを書いている可能性があります。

したがって、データアクセスコードのチェックには多くの形があります。あなたの部署のアプローチが「SqlCommandを直接使用する」場合、それは事柄を変更します。

また、SQL注入は.NETに限定されません。たとえば、をパラメータ化しても、生のコマンドテキストまたはストアドプロシージャでSQLインジェクションのリスクを作成できます。 EXECを介して起動される動的SQLを作成します。 sp_executesqlがそれを助けることに注意してください。

Answer 2

また使用かがSqlCommandが含まれているものを探す必要があります。これらには、とりわけSqlDataAdapterが含まれます。

Answer 3

パラメータ化されたクエリライブラリを使用しているという理由だけで、正しく使用されているわけではありません。監査コードの間、私はパラメータ化されたquiresが使用されているケースを見てきましたが、クエリのいくつかの部分はまだ文字列連結を使用して構築されています。より具体的には、クエリのテーブル名と制限/順序部分はよくある間違いです。

静的解析に完全に設定されている場合は、アプリケーション内のすべてのクエリに対してgrepを実行し、それぞれを正しく構築することをお勧めします。はい、これには長い時間がかかります。休憩を取り、メモを取って押してください。あなたがSQLインジェクションを見つけると、それは報われるでしょう！

Answer 4

データベーススキーマによっては、ストアドプロキシでの攻撃をチェックする必要があります（ストアドプロシージャを使用していると仮定して）。私は人々が彼らのコードにparamterisedストアドプロシージャを使用して見てきましたが、procの中で、彼らはただ照会するEXECを使用します。

CREATE PROC Dummy 
(
    @Str VARCHAR(50) 
) 
AS 
EXEC ('SELECT * FROM Table Where Column = ''' + @Str + '''')