Discussion :

[badjoe]

Bonjour,

mon probleme est le suivant:
j'utilise une application qui envoie au server MSSQL des requetes de ce genre:
EXEC sprocedure argument
la faille est que des utilisateurs peuvent par exemple entrer 'SHUTDOWN-- comme argument.
je ne possede pas les sources de l'application donc je ne peux rien corriger de ce coté la. Est-il possible de securiser cette faille coté Serveur MSSQL ?

[rudib]

Bonjour,

la première chose à faire est de diminuer les droits du compte qui se connecte au minimum. Pour exécuter un shutdown, il faut être sysadmin. De plus, sur les bases, enlève les droits de db_owner, ddl_admin, securityadmin... s'il y en a.

Pour le reste, quelques conseils ici : http://www.microsoft.com/france/msdn.../secmod12.mspx

[badjoe]

merci pour cette reponse rapide !

Oui j'avais deja lu que restreindre les droits empecherait le shutdown, mais comme je suis obligé de laisser les droits en ecriture ca laisse toujours la possibilité de faire un UPDATE ou DELETE...

Je vais lire l'article que vous me conseillez en esperant y trouver une solution.

[rudib]

Ok, si tu diminues les droits jusque là, et que tu vérifies que la chaîne que tu reçois ne contient ni '--', ni ';', ni UPDATE ou DELETE, tu as déjà fait un peu de chemin.

[badjoe]

justement c'est la mon probleme, comment je verifie que la chaine ne contient pas telle ou telle chaine de caractères ? (vu que je n'ai aucun controle sur l'application qui envoie la requete)

[rudib]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
IF CHARINDEX ( '--' , @monParam) > 0 OR CHARINDEX ( ';' , @monParam) > 0 -- ...
BEGIN
   RAISERROR('faut pas rêver !', 16, 10)
   RETURN
END

[badjoe]

je met ca ou ? dans la stored procedure ?
le probleme est, je crois, que l'injection se fait au moment de l'appel a la procedure et non dans la procedure elle meme.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

EXEC sprocedure ''SHUTDOWN--

ou est ce que je me trompe et ce n'est pas possible ?

[rudib]

Oui, dans la procédure.
Quand tu dis que l'injection se fait au moment de l'appel... la chaîne est passée en paramètre à la procédure, mais elle est exécutée dans la procédure. Tu as un EXEC() ou un sp_executesql dans ta procédure, n'est-ce pas ? Alors si tu fais le test avant l'exécution, eh bien... voilà...

[badjoe]

non en fait l'exec est directement fait depuis le programme client.
il envoie la requete "EXEC sprocedure param"

[rudib]

Ok, j'ai compris, désolé, je restais bloqué sur le paramètre.

Es-tu sûr dans ce cas que le login qui exécute la procédure doit avoir des droits datawriter ? Si le login ne fait qu'appeler des procédures, tu peux lui donner des droits uniquement sur les procédures, et non pas sur les table utilisées.

[badjoe]

ah peut etre que ca suffirait en effet ! comment je fais ca ? et est-ce que je peux lui donner les droits seulement sur certaines procedures et pas d'autres ?

[rudib]

Bien sûr, tu donnes les droits d'exécution par procédure. Si l'owner des procédures est le même que l'owner des tables, il ne vérifie pas les droits sur les tables, donc tu peux :
- donner les droits sur les sprocs, soit via Enterprise Manager, soit via T-SQL avec un GRANT EXEC ON sproc TO user
- enlever les droits sur les tables

[badjoe]

je vais essayer ca, je te tiens au courant si ca resoud tous les problemes ou non.
merci mille fois pour ton aide !