7 architecture api sharepoint sql-injection
我的公司要求所有生产站点都通过AppScan安全扫描.有时,当我们扫描SharePoint安装时,该软件会检测到盲目的SQL注入漏洞.我很确定这是误报 - AppScan可能会将HTTP响应中的其他一些活动解释为盲注的成功.但很难证明情况就是这样.
我怀疑SharePoint(MOSS 07和WSS 3.0)仅在幕后使用存储过程.有没有人知道微软是否有这方面的文件,此外,是否有任何存储过程使用动态生成的SQL?如果一切都是sprocs,并且没有一个是动态的,我们就会有很好的证据表明SharePoint没有SQL注入漏洞.
它们并不都是存储过程。特别是,像交叉列表连接这样的东西会产生一些可怕的语法。例如,请查看本文中的 SQL 跟踪窗口。此外,由于用户控件和 API 调用都可以由开发人员编写,因此如果您使用自定义模块,则不能保证您不会受到 SQL 注入的影响。
我的猜测是,SharePoint 至少总是使用命名参数。然而,您最好的选择可能是运行 SQL 跟踪并比较结果。此外,如果您是一个足够大的客户,您可以尝试致电当地的 MSFT 布道者(或在connect.microsoft.com上发布问题),看看是否可以获得答复。