Сообщенный код ошибки считается SQL-инъекцией?

Question

SQL-инъекция, которая на самом деле выполняет команду SQL - это одно.Но внедрение данных, которые на самом деле не запускают вредоносный запрос, но которые могут рассказать вам что-то ценное о базе данных, это считается внедрением SQL?Или это просто используется как часть для создания правильной SQL-инъекции?

Примером может быть

set rs = conn.execute("select headline from pressReleases 
where categoryID = " & cdbl(request("id")) )

Передача этой строки, которая не может быть преобразована в числовое значение, приведет к

Microsoft VBScript runtime error '800a000d'
Type mismatch: 'cdbl'

, который скажет вам, что рассматриваемый столбец принимает только числовые данные и поэтому, вероятно, имеет тип integer или аналогичный.

Кажется, я нахожу это на многих страницах, обсуждающих внедрение SQL,но на самом деле не получите ответа, если это само по себе считается SQL-инъекцией.Причиной моего вопроса является то, что у меня есть инструмент сканирования, который сообщает об уязвимости SQL-инъекции и сообщает об ошибке во время выполнения VBScript «800a000d» в качестве причины для нахождения.

Answer 1

Это явно уязвимость SQL-инъекции, которую необходимо исправить.

В вашем сценарии есть несколько причин для этого:

• Обнаружение случайной информации, которую вы описываете, может быть полезно злоумышленнику, особенно если у него есть другие векторы атаки.
• Злоумышленнику, обнаружившему эту уязвимость, будет предложено поискать еще. Небрежный здесь может означать небрежный в другом месте.
• В безопасности важно не быть слишком умным. Ваш злоумышленник может знать намного больше или что-то большее, чем вы. Поэтому то, что может показаться вам уязвимостью, может стать открытой дверью для кого-то еще.

Так что да, ваш инструмент работает правильно.

Answer 2

Я бы сказал, да! Вы вводите строку SQL и получаете информацию, которую не должны получать. Я думаю, что это уже достаточно "вредно".