我有一个 asp.net Web 应用程序正在通过内部 IT 进行笔测试。他们正在使用 IBM AppScan 对 Web 应用程序运行扫描。不断出现的错误之一是与视图状态输入字段相关。该工具修改视图状态并将其发送回服务器。服务器抛出一个错误,然后捕获并重定向用户通用错误处理屏幕。AppScan 将此标记为盲 SQL 注入。
我正在向 IT 安全人员解释这一点。我告诉他们我能做的最好的事情就是捕捉错误并将错误屏幕返回给用户。他们坚持认为正在进行某种 SQL 注入。
对于这种情况,您还推荐什么其他方式或方法?其他人如何处理这个问题?如果用户故意更改视图状态不是错误屏幕最好的答复?
如果这句话:
看!这是我记录的该死的错误记录!您可以清楚地看到,由于无效的视图状态,应用程序不满意。这是正确的,因为您的视图状态无效!如果你认为你执行了 SQL 注入,请告诉我你认为你注入了什么 SQL!看,这是我同时记录的 SQL 跟踪!给我看SQL。给我看 SQL!
不工作,然后...我不知道,也许不使用视图状态?那会阻止他们...
另一种选择是:在内部记录故障,然后将它们注销。
对于这种情况,您还推荐什么其他方式或方法?其他人如何处理这个问题?
继续与他们交谈。关闭他们记录的缺陷,将其标记为无效。
如果所有其他方法都失败了,请在他们的测试中记录一个缺陷并继续前进。人生如此短暂。