Sto eseguendo un controllo del codice di un'applicazione VB6 precedente che utilizza SQL costruito dinamicamente per eseguire il database. Mentre vedo questo come un punto di iniezione SQL, lo sviluppatore sostiene che dal momento che tutti i valori sono in caselle a discesa estratte dal database & non vi è alcun input da parte dell'utente per questi articoli, non vi è alcun rischio.
Ovviamente questo è banale per un'app Web; questa domanda è specifica per le applicazioni create utilizzando i moduli di Windows (applicazioni VB6 / VB.NET / C # client > tipo server). Mi rendo anche conto che se il client può inviare una stringa SQL, così può fare l'utente (non così SQL injection come controllo di accesso scadente in questo caso).
Sto cercando un tipo di risposta proof-of-concept (o toolkit) che mi consenta di modificare i valori del modulo Windows dell'applicazione in esecuzione. Esistono strumenti prontamente disponibili o richiederebbe una manipolazione diretta della memoria?