Blind SQL injection

vehiuel · #1 (**permalink**) 28/08/2007, 07:23

Hola, esta funcion hace una llamada a otra página para obtener un valor y cargar datos en un combobox pero resulta que es vulnerable a blind sql injections soy poco nobato en asp y ajax y no entiendo mucho hay alguna forma de asegurar al codigo o hacerlo de otra forma??

************************************************** ************************
function cargaComunas() {
var valor= document.getElementById("cmb_region").options[document.getElementById("cmb_region").selectedInde x].value;

if(valor==0) {

combo=document.getElementById("cmb_comuna");
combo.length=0;
var nuevaOpcion=document.createElement("option");
nuevaOpcion.value=0;
nuevaOpcion.innerHTML="Selecciona region...";
combo.appendChild(nuevaOpcion);
combo.disabled=true;

} else {
ajax=nuevoAjax();
ajax.open("GET", "cargar_comunas.asp?codRegion="+valor, true);
ajax.onreadystatechange=function() {

if (ajax.readyState==1) {

combo=document.getElementById("cmb_comuna");
combo.length=0;
var nuevaOpcion=document.createElement("option");
nuevaOpcion.value=0;
nuevaOpcion.innerHTML="Cargando...";
combo.appendChild(nuevaOpcion);
combo.disabled=true;
}

if (ajax.readyState==4){
document.getElementById("comunas").innerHTML=unesc ape(ajax.responseText);
}
}

ajax.send(null);
}
}

AlZuwaga · #2 (**permalink**) 28/08/2007, 10:38

Pues... habría que ver el código de cargar_comunas.asp para poder responderte.

vehiuel · #3 (**permalink**) 28/08/2007, 12:05

Este es cargar_comunas.asp

************************************************** ***************





<%

Function filtra(String)
on Error resume next
String = Replace(String, CHR(13), "")
String = Replace(String, CHR(10), "")
String = Replace(String, "|", "")
String = Replace(String, "=", "")
String = Replace(String, "&", "")
String = Replace(String, ";", "")
String = Replace(String, "$", "")
String = Replace(String, "%", "")
String = Replace(String, "@", "")
String = Replace(String, "'", "")
String = Replace(String, "<", "")
String = Replace(String, ">", "")
String = Replace(String, "(", "")
String = Replace(String, ")", "")
String = Replace(String, "\", "")
String = Replace(String, ",", "")
String = Replace(String, """", "")
String = Replace(String, "\""", "")
String = Replace(String, "\'", "")
String = Replace(String, "+", "")
filtra = String
End Function

codRegion = filtra(CleanUserData(Request.QueryString("codRegio n")))

If not IsNumeric(codRegion) Then
codRegion=0
End if

strSql = "SELECT * FROM "&tabla&"_comunas "_
&"WHERE codRegion ="&codRegion _
&"ORDER BY comuna ASC "

Set rs = Server.CreateObject( "ADODB.Recordset" )
On Error Resume Next
rs.Open strSql, MM_conn_STRING, 1, 2

If Err.Number Then
despliegaError Err.Number, Err.Description
End If

%>

<SELECT class=texto id="cmb_comuna" name="cmb_comuna" style="font-family: Arial; font-size: 11; background-color: rgb(224,231,235); border: medium" >
<option value="0" selected>SELECCIONE</option>

<% Do While Not rs.EOF %>
<option value="<%=rs("codComuna") %>"><%=Escape(rs("comuna")) %></option>

<%
rs.movenext
Loop
if rs.status=1 then rs.close
set rs=nothing
%>

</SELECT>

vehiuel · #4 (**permalink**) 28/08/2007, 12:14

Creo que es una vulnerabilidad por las variables cmb_comuna y cmb_region por lo menos eso dice el scan :(

u_goldman · #5 (**permalink**) 28/08/2007, 12:53

Código:

strSql = "SELECT * FROM "&tabla&"_comunas "_
&"WHERE codRegion ="&codRegion _
&"ORDER BY comuna ASC "

Siempre que hagas una selección de ese tipo, la consulta es vulnerable, habría que ver más bien como se forma tabla y codRegion, hacerles unos replace antes de formar la consulta, busca en la librería de funciones una que adaptaron para eliminar caracteres usados en la inyección de SQL. En otras ocasiones te diría que parametrizaras tu consulta, pero como en realidad es bastante dinámica tu consulta, no se podría hacer de la manera cotidiana. Además de hacer los replace, tendrás también que revisar los permisos de tu usuario sobre de Internet sobre la base de datos, y como manejas las excepciones en tu script, es decir, no querrás regresar el error explicítamente pues eso supone otra puerta abierta, son muchas cosas a considerar.

Saludos

mc_quake · #6 (**permalink**) 29/08/2007, 07:31

Protección contra las técnicas de Blind SQL Injection (I de IV)

Protección contra las técnicas de Blind SQL Injection (II de IV)

Protección contra las técnicas de Blind SQL Injection (III de IV)
Protección contra las técnicas de Blind SQL Injection (IV de IV)

espero te sirva

ronan17 · #7 (**permalink**) 29/08/2007, 07:37

Yo le filtraria cada entrada de request.form/querystring por medio de Regular Expressions (Regexp)

u_goldman · #8 (**permalink**) 29/08/2007, 08:07

Cita:

Iniciado por mc_quake

Protección contra las técnicas de Blind SQL Injection (I de IV)

Protección contra las técnicas de Blind SQL Injection (II de IV)

Protección contra las técnicas de Blind SQL Injection (III de IV)
Protección contra las técnicas de Blind SQL Injection (IV de IV)

espero te sirva

Qué buen aporte, yo había visto muchos contenidos acerca del tema solo en inglés, lectura obligada.

vehiuel · #9 (**permalink**) 29/08/2007, 10:21

Creo que el problema esta aca:

ajax.open("GET", "cargar_comunas.asp?codRegion="+valor, true);

mc_quake · #10 (**permalink**) 30/08/2007, 09:58

Cita:

Iniciado por vehiuel

Creo que el problema esta aca:

ajax.open("GET", "cargar_comunas.asp?codRegion="+valor, true);

podrias decir el porque??