Checkmarx | DB Query + File 操作,導致 Checkmarx 噴 Heuristic 2nd Order SQL Injection 問題?

前言

最近遇到專案被 Checkmarx 掃出 Heuristic_2nd_Order_SQL_Injection 的低風險問題。
看了一下程式,它的邏輯是在 MVC 的 Controller 接收一個 No 字串參數,再透過該參數到 DB 中取回單號的年度,
再依年度組出檔案路徑,進行檔案的操作。
才一個 DB 的 Query ,怎麼會疑似2nd Order SQL Injection 問題呢?

研究

針對 SQL Injection 的防護,大多使用 Parameter 的方式,
而該 Query 也是使用 DbParameter 的方式,
為什麼 Checkmarx 會覺得有 Injection 的問題呢?
程式是使用 Dapper 的 SqlMapper 來 Query

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
//Controller
public JsonResult Delete(string SRNO)
{
    return Json(dac.DeletePlan(SRNO));
}

//DeletePlan
public RtnResultModel DeletePlan(string SRNO)
{
    using (TransactionScope scope = new TransactionScope())
    {
        using (CommonDac dac = new CommonDac(loggedUser))
        {
            string year = dac.GetPlanYear(SRNO);
            // file 操作 ... call fileaccess(year);
        }
        scope.Complete();

        return new RtnResultModel(true, "訊息...");
    }
}


//GetYear
public string GetPlanYear(string SRNO)
{
    var conn =  ...;
    strSql = @"SELECT [dbo].[fn_GetPlanYear](@SRNO) ";
    objParam = new
    {
        SRNO = SRNO
    };
    var strYear = conn.Query<string>(conn,strSql, objParam).ToList().SingleOrDefault();
    return strYear;
}

從 Checkmarx 的圖中,經過的 Path 只有一個 DB 的 Query,

而且 SQL 的參數,也沒有使用 字串 串接的方式,
所以沒有 2nd Order SQL Injection 的問題。
有可能是 Checkmarx 不認得 SqlMapper.Query 的擴充 Method。
將 Dapper 改用 Ado.NET 來操作,

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
public string GetPlanYear(string SRNO)
{
    var conn =  ...;
    strSql = @"SELECT [dbo].[fn_GetPlanYear](@SRNO) ";
    SqlCommand cmd = new SqlCommand(strSql, conn);
    cmd.Parameters.Add("@SRNO", SqlDbType.VarChar);
    cmd.Parameters["@SRNO"].Value = CryptSet.DecryptAES(SRNO);
    try
    {
        conn.Open();
        return (string)cmd.ExecuteScalar();
    }
    catch (Exception ex)
    {
        throw;
    }
}

再掃一次 Heuristic_2nd_Order_SQL_Injection 就不會再出現。
如果客戶可以接受說明,應該可以不需要進行調整,
如果一定要調整的話,除了改用 Ado.NET 方式外,
也可以透過驗證資料型別的方式來解,
例如,判斷是否為 int 再將值傳出,如下,

1
2
3
4
5
6
7
8
9
10
11
12
public string GetPlanYear(string SRNO)
{
    var conn =  ...;
    strSql = @"SELECT [dbo].[fn_GetPlanYear](@SRNO) ";
    objParam = new
    {
        SRNO = SRNO
    };
    var strYear = conn.Query<string>(conn,strSql, objParam).ToList().SingleOrDefault();
    var intYear = int.Parse(strYear);
    return intYear.ToString();
}

參考資源

What is a Second-Order SQL Injection and how can you exploit it successfully?

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

大家好,我是亂馬客 Rainmaker,目前任職於叡揚資訊,大家也都叫我 RM 。 平常負責開發公司各產品線的加值、共用的軟體,例如 Azure, OpenAI, Chatbot, Database ... 同時 Support 公司各種技術及資安修改問題。 Blog中的內容也是個人的看法, 如果有需要討論的地方, 可以留言,或是 mail 給我 :) rainmaker_ho@gss.com.tw