Discussion :

[badjoe]

Bonjour,

mon probleme est le suivant:
j'utilise une application qui envoie au server MSSQL des requetes de ce genre:
EXEC sprocedure argument
la faille est que des utilisateurs peuvent par exemple entrer 'SHUTDOWN-- comme argument.
je ne possede pas les sources de l'application donc je ne peux rien corriger de ce coté la. Est-il possible de securiser cette faille coté Serveur MSSQL ?

[rudib]

Bonjour,

la première chose à faire est de diminuer les droits du compte qui se connecte au minimum. Pour exécuter un shutdown, il faut être sysadmin. De plus, sur les bases, enlève les droits de db_owner, ddl_admin, securityadmin... s'il y en a.

Pour le reste, quelques conseils ici : http://www.microsoft.com/france/msdn.../secmod12.mspx

[badjoe]

merci pour cette reponse rapide !

Oui j'avais deja lu que restreindre les droits empecherait le shutdown, mais comme je suis obligé de laisser les droits en ecriture ca laisse toujours la possibilité de faire un UPDATE ou DELETE...

Je vais lire l'article que vous me conseillez en esperant y trouver une solution.

[rudib]

Ok, si tu diminues les droits jusque là, et que tu vérifies que la chaîne que tu reçois ne contient ni '--', ni ';', ni UPDATE ou DELETE, tu as déjà fait un peu de chemin.

[badjoe]

justement c'est la mon probleme, comment je verifie que la chaine ne contient pas telle ou telle chaine de caractères ? (vu que je n'ai aucun controle sur l'application qui envoie la requete)

[rudib]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
IF CHARINDEX ( '--' , @monParam) > 0 OR CHARINDEX ( ';' , @monParam) > 0 -- ...
BEGIN
   RAISERROR('faut pas rêver !', 16, 10)
   RETURN
END