Estoy realizando una auditoría de código de una aplicación VB6 más antigua que utiliza SQL de construcción dinámica para ejecutar en la base de datos. Si bien veo esto como un punto de inyección de SQL, el desarrollador sostiene que, dado que todos los valores están en los cuadros desplegables extraídos de la base de datos & no hay entrada del usuario para estos elementos, no hay riesgo.
Por supuesto, esto es trivial para una aplicación web; esta pregunta es específicamente para aplicaciones creadas con formularios de Windows (VB6 / VB.NET / C # client > aplicaciones de tipo servidor). También me doy cuenta de que si el cliente puede enviar una cadena SQL, también lo puede hacer el usuario (no tanto la inyección SQL como el control de acceso deficiente en este caso).
Estoy buscando un tipo de respuesta de prueba de concepto (o un kit de herramientas) que me permita cambiar los valores de formulario de Windows de la aplicación en ejecución. ¿Hay herramientas disponibles, o esto requeriría manipulación de memoria directa?