Discussion :

[menoran]

bonjour

j'ai trouvé un code sur net et j'ai besoin d'aide sur ce script :

CREATE OR REPLACE PROCEDURE demo(value IN VARCHAR2) AS
BEGIN
...
-- vulnerable
EXECUTE IMMEDIATE 'BEGIN updatepass(''' || value || '''); END;';
-- not vulnerable
cmd := 'BEGIN updatepass(:1); END;';
EXECUTE IMMEDIATE cmd USING value;
...
END;

ma question c'est pourquoi la première requete est vulnerable et la seconde non ? et que fait updatepass ?
merci d'avance.

[McM]

Recherche SQL INJECTION sur le net.

La chaine exécutée

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 'BEGIN updatepass(''' || value || '''); END;'

peut se retrouver à exécuter un DROP DATABASE si value contient par exemple

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1'); DROP DATABASE; updatepass('''1

[menoran]

bonjour et merci pour votre reponse mai j'ai pas bien compris l'idée

1'); DROP DATABASE; updatepass('''1

vous voulez dire que l'user execute la procedure demo ('drop database') ?
merci d'avance.

[Vincent Rogier]

reprenons :

'BEGIN updatepass(''' || value || '''); END;'

avec value =

'); DROP DATABASE XXXX; DBMS_OUTPUT.PUT_LINE('YOU''VE BEEN INJECTED

cela donne au final (les retours chariots sont ajoutés pour la compréhension) :

BEGIN
updatepass('');
DROP DATABASE XXXX;
DBMS_OUTPUT.PUT_LINE('YOU''VE BEEN INJECTED');
END;

Ca te parait plus clair ?

[menoran]

bonjour et merci pour votre aide
quelque chose que je n'ai pas saisi, est ce que " updatepass(''); " a un effet pour rendre ce code vulnerable ?
et c'est quoi son effet ?
et pouroi ce code n'est pas vulnerable ?

-- not vulnerable
cmd := 'BEGIN updatepass(:1); END;';
EXECUTE IMMEDIATE cmd USING value;
...

merci d'avance

[mnitu]

Entre nous

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
Begin
  ...
  Drop database ...

ne passera jamais.

[menoran]

merci mais si on enleve drop database , est ce que ça reste toujours vulnerable ?

[McM]

Pourquoi tu dis "si on enlève le drop database" ?
Le paramètre peut contenir n'importe quel code qui sera exécuté. Donc c'est vulnérable.

http://fr.wikipedia.org/wiki/Injection_SQL

L'utilisation des binds variable empèche ça.

[SQLpro]

Extrait d'un article que je suis en train d'écrire :

Attaques par injection de SQL


Tous les serveurs de bases de données relationnelles de type Client/Serveur sont vulnérables sur le plan de l'attaque par injection de code SQL.
Nous allons décrire ce type d'attaque et montrer quelles en sont les points les plus critiques, puis nous tenterons d'indiquer dans quelle mesure on peut s'en prémunir.

0 - Définition

L'attaque par injection de SQL consiste à introduire un code malveillant dans l'exécution d'une routine SQL (procédure, fonction...) par le biais d'une variable.

1 - Comment fonctionne l'injection de SQL ?

Comme tout code interprété, SQL est exécuté dynamiquement, c'est à dire qu'au fur et à mesure de l'exécution de certaines parties de codes, sont construite d'autres parties qui seront exécutées par la suite. Il suffit donc de changer le texte du code à exécuter pour faire dériver le programme dans une exécution non désirée.
Ceci est obtenu généralement par l'injection à travers l'IHM d'une chaine de caractères raboutée à une autre de nature à corrompre le code par l'exécution d'une commande non désirée.

...

A +

[Invité]

vous ne lisez jamais la doc ?
http://oracle.developpez.com/guide/a...ion/adminrole/

[menoran]

slt pour essayer si sa marche j'ai creer une procedure :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
CREATE OR REPLACE PROCEDURE proc_mini
as
BEGIN
execute immediate ‘begin grant dba to scott ; end ;’ ;
END;
/

elle m'afficher des erreurs en piece jointe. merci d'avance

[Invité]

Vous ne connaissez pas la différence entre du SQL et du PL/SQL.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
CREATE OR REPLACE PROCEDURE proc_mini
AS
BEGIN
execute immediate 'GRANT dba TO scott' ;
END;
/
 
BEGIN
  PROC_MINI();
END;
/