SQL Injection ????? ?? ??? Microsoft ????? ??? ???????? ASP ??? ??? SQL injection ???????????? ?????? ?? ??? ?????? ??

???? ID: 954476 - ?? ???????? ?? ?????? ??? ?? ?? ???? ???? ???? ??.
??? ?? ??????? ???? | ??? ?? ??????? ????

?? ????? ??

?????

?? ???? ????? ???? ?? ?? SQL Injection ????? ?? ??? Microsoft ????? ??? ???????? ????? ASP ??? ??? SQL injection ???????????? ?????? ?? ??? ?? ?? ????? ??? ???????? ????? ?? ????? ?? ?????
????? ?? ???? ???? | ??????????? ???

???? ???????

SQL Injection ????? ?? ??? Microsoft ????? ??? ???????? ?? ?? ?????? ??? ???????? ????? ?? ?????? ????? ????? (ASP) ??? ??? SQL injection ???????????? ?????? ??? ??? ???? ??? ?? ???? ????? ???? ?? ?? ?????, ????? ?? ?????? ????? ?? ?????? ??????? ?? ?? ??? ?? ?????????? ?? ????? ???? ????? ???? ??????? ?? ??? ????? ????? ???????? ??????

??????????????

?? ????-?????? ????? ?? ????? ?????????? ?? ???????? ??:
  • .NET Framework 3.0

SQL injection ???????? ??? ASP ???

??? ???? ?? ??????????-???? ???Request.Form??,Request.Querystring?????? ASP ??? ??? ??? ?? ???? ??????? ?? ???? ???????? SQL ??? ????? ???? ?? ??? ????? ???? ???? ??, ?? ?????? SQL ???? ?? ???? SQL ??? ??? inject ?? ???? ??? ??? misuse ?? ???? ???? ?? ????????: ???? ??? ?????? ???? SQL injection ????????????.

??? ?????????? ????? ???????? ?? ?? ?? ??????? ??? ?? ASP ????? ?? ????? ????, ?? ???? ??? ?????????? ????? ??????? ?? ??????? ?? ?? ?? ???? ???? ASP ????? ??? ???????? SQL ??? ????? ???? ?? ??? ????? ???? ???? ??, ?? ?????? ?? ???? ??? SQL ???? ?? ???? SQL ??? ??? inject ?? ???? ??? ??? misuse. ?? ????????: ???? ??? ????????? ???? SQL injection ????????????.

?? ???????????? ?? ?? ???? ?? ??? parameterized SQL ?????? ?? ????? ???? ?? ??? ??????? ??? ???? ??????? ?? ??? ASP ??? SQL injection ???????????? ?? ???? ??? ?? ?? ???????????? ?? ?? ???? ?? ??? ??????? ?? ???? ???, ????? Microsoft ??? ???? ?? ????:
HTTP://MSDN.Microsoft.com/en-us/library/cc676512.aspx
(http://msdn.microsoft.com/en-us/library/cc676512.aspx)
SQL Injection ????? ?? ??? Microsoft ????? ??? ???????? ???????? ??? ?? ?? ???????? ?? ??? ?????? ??? ??? ???? ???

?????

?? ??? ????? ?? ?? ????? ?? ????? ???? ?????

????????

????? ?????????? ???????? ?? ????? ???? ??:
msscasi_asp.exe [/nologo] [/quiet] [/suppress=num;..;num] [/ GlobalAsaPath ?? =] [/IncludePaths=path;..;path] /Input=file.asp

?????:

????? analyzes SQL injection ???????????? ?? ??? ASP ??? ???

???????? ?? ????

?? ?????? ?? ??????? ?????? ?????? ?? ??????? ????
???????????????????:
/ GlobalAsaPath??Global.asa ????? ?? ?? ????????? ???? ???
/ IncludePaths??????????? ???? ?? ???????????-??? ?? ????? ??????? ???? ?? ????? ?? ??? ??? ?? ??????? ?? ??? ???? ?? ????
????? /ASP ????????????? ???? ????? ?? ASP ????? ?? ????? ?? ????????? ???? ???
?????????? /?????????? ??????? ???? ????
/nologo????? ???? ????????? ???? ???? ???? ???
???? /???????? ?????? ????????? ???? ???? ???? ?? ?? ????? ????/nologo, ?????? /????? ???? ??, ???? ??????? ????? ????????? ??? ???? ????

??????

MSSCASI_ASP /input="c:\source\logon.asp"

MSSCASI_ASP /GlobalAsaPath="C:\source" /input="c:\source\webitems\display.asp"

MSSCASI_ASP /GlobalAsaPath="C:\source" /input="c:\source\webitems\display.asp" /IncludePaths="C:\virtualdirectory1;C:\virtualdirectory2"

MSSCASI_ASP /input="c:\source\webitems\display.asp" /suppress="80406;80407"

?????? ?? ??????? ????

????? ????? ?????????? ????? ??:
?? ?????? ?? ??????? ?????? ?????? ?? ??????? ????
???????:?????:
80400??????? SQL injection ???????????? Request ???????? ?? ???? ?? ???? ??? ?? ??????? ????? ???? ?? ?????? ??? ?? ?????????? ??? ??????? ???? ????? ?? ???? ???? ?? ?? ???? ????
80406??????? SQL injection ???????????? ?? ???? ???? ????? ???? ??????? ????? ?? ???? ?? ??? ?????? ?????? ??? ?? ?????? ?? ???? ?? Request ???????? ?? ?????? ??? ??? ???? ??????? ?????? ??? ?? ???? ???? ??, ?? ???? ???? ?? ?? ???? ??? ??? ??????, ?? ??? ??? positives.
80403??????? SQL injection ???????????? ?? ???? ?? ?? ???-??? ????? ?? ??? ??? ??? ???? ?? ??? ???? ??? ???? ?? ?????? ?? ??? ????? ?????? ????????? ??, ?? ???? ???? ?? ?? ???? ??? ??? ???????, ??? ???? ?? ?? ??????? ??, ?? ???? ?? ???? ?? ????? ?? ??? ?? ?? ???????? ?????????? ??? ????? ?? ?????? ?? ?? ??? ?? ??? ??? ?? ???????? ?? parameterize ???? ?? ??? ?? ????? ?????? ???
80407??????? SQL injection ???????????? ?? ???-??? ????? ?? ?? ?? ??? ?? ?? ???? ?? ?????? ?? ??? ?????? ?????? ??? ?? ?????? ?? ??? ???? ??? ??? ??? ???? ???? ??? ????? ?????? ??? ???? ??? ?????? ?????? ????????? ??, ?? ??? ?? ???? ?? ??? ???? ??????? ??, ?? ???? ???? ?? ?? ???? ????
80420??????? SQL injection ???????????? ?????? ???????? ??????? ?? ?????????? ?????? ??????? ?? ????? ???? ??? ???? ?????, ??? ?????? ???????? ??? ????????? ????? ?? ???, ?? ??? ??? positives. ??? ???????? ??? ?? end-users ?????? ????????? ???, ?? ???? ???? ?? ?? ???? ??? ??? ?? ?? ????? ?? ???? __sql_pre_validated ??????? ?????? ?????????? ?? ??? ????? ?? ???? end-users ??? ?? ?? ????? ???? ??? ?? ????
80421???? ??????? ????? ?? ???? ?? ??? ?????? ?????? ??? ?? ?????? ?? ?????? ???????? ?? ?????? ???????? ?? ?????? ?? ???? SQL injection ???????????? ??? ??? ??? ???? ?? ????? ?? ???? __sql_pre_validated ??????? ?????? ???????? ?? ??????? ?????? ?? __sql_validate ?? ?? ??? ????? ?? ???? end-users ??? ?? ?? ????? ???? ??? ?? ????
??? ?????????? ????? ????? ?? ??, ?? 80400 ??????? ?? ???? ???? ?? ?? ???????? ???? ????? ???? ?? ???? ASP ??? ???????? parameterized ??????? ?? ????? ?? ?? ???? ?? ??? ???? ????? ASP ??? ??? parameterized SQL ?????? ?? ????? ???? ???? ?? ???? ??? ???? ??????? ?? ??? ????? Microsoft ??? ???? ?? ????:
HTTP://MSDN.Microsoft.com/en-us/library/cc676512.aspx
(http://msdn.microsoft.com/en-us/library/cc676512.aspx)

??????

????? ??? ?????????? ????? ?????? ??:
  • ????? understands ???? ASP ??? ?? VBScript ??? ???? ??? ?? ??? ???? ???????? ?????-???? ??? ?? ???? ?? ???? ?????? ???, ???? Jscript ???? ???? ???
  • ??? ??? ASP ?????? ?? ?? ????? ????? ?? ????????? ?? ??? ?? ??? ??? ?????? ???? ??? ??? ???????, ?? ?????? ??? ASP constructs ?? ???? ???? ?? ???? ??? ?????, ?? ??? ???????? ????????? ??? ???? ????
????? ?? ???? ???? | ??????????? ???

??????

SQL Injection ????? ?? ??? Microsoft ????? ??? ???????? ?? ??????? ???? ?? ??? ????? Microsoft ??? ???? ?? ????:
HTTP://www.Microsoft.com/downloads/details.aspx?FamilyId=58A7C46E-A599-4FCB-9AB4-A4334146B6BA
(http://www.microsoft.com/downloads/details.aspx?FamilyId=58A7C46E-A599-4FCB-9AB4-A4334146B6BA)
??????? ????????? ??????? ?????????? ?? ???? ??? ???? ??????? ?? ??? ????? Microsoft ??? ???? ?? ????:
HTTP://blogs.TechNet.com/swi/Archive/2008/05/29/SQL-injection-attack.aspx
(http://blogs.technet.com/swi/archive/2008/05/29/sql-injection-attack.aspx)
ASP ??? SQL injections ?? ????? ?? ???? ??? ???? ??????? ?? ??? ????? Microsoft ??? ???? ?? ????:
HTTP://MSDN.Microsoft.com/en-us/library/cc676512.aspx
(http://msdn.microsoft.com/en-us/library/cc676512.aspx)
SQL injection ????? ?? ???? ??? ???? ??????? ?? ??? ????? Microsoft ??? ???? ?? ????:
HTTP://blogs.MSDN.com/sdl/Archive/2008/05/15/giving-SQL-injection-the-respect-IT-deserves.aspx
(http://blogs.msdn.com/sdl/archive/2008/05/15/giving-sql-injection-the-respect-it-deserves.aspx)
????? ?? ???? ??? ???? ??????? ?? ??? ????? Microsoft ??? ???? ?? ????:
HTTP://blogs.MSDN.com/sqlsecurity
(http://blogs.msdn.com/sqlsecurity)
????? ?? ???? ???? | ??????????? ???

???

???? ID: 954476 - ????? ???????: 07 ??? 2013 - ??????: 3.0
???? ???? ???? ??:
  • Microsoft ASP.NET 2.0
??????: 
atdownload kbexpertiseadvanced kbcode kbexpertiseinter kbinfo kbsecadvisory kbsecurity kbsecvulnerability KB954476
????? ?? ???? ???? | ??????????? ???

??????????? ???

 
????? ?? ???? ????????? ?? ???? ????