笔测试盲目SQL注入和视图状态错误

Question

我有一个asp.net web应用程序，正在接受内部IT部门的笔试。他们正在使用IBM AppScan对web应用程序运行扫描。不断出现的错误之一是与viewstate输入字段相关的错误。该工具修改视图状态并将其发送回服务器。服务器抛出一个错误，然后捕获并重定向用户通用错误处理屏幕。AppScan将其标记为盲SQL注入。

我正在向IT安全人员解释这个问题。我告诉他们，我能做的最好的事情就是捕获错误并向用户返回一个错误屏幕。他们坚持认为有某种SQL注入正在进行。

对于这种情况，你还有什么推荐的方式或方法吗？其他人是如何处理这个问题的？如果用户故意更改视图状态，那么最好的回答不是出现错误屏幕吗？

Answer 1

如果这句话：

看！这是我记录的该死的错误记录！您可以清楚地看到，应用程序因为无效的视图状态而不愉快。这是正确的，因为您的视图状态是无效的！如果您认为您执行了SQL注入，请告诉我您认为您注入了什么SQL！看，这是我在同一时间拍摄的SQL跟踪！向我展示SQL。让我看看SQL！

不起作用，那么..。我不知道，也许不使用viewstate？这会阻止他们..。

另一种选择是:在内部记录故障，然后将其注销。

Answer 2

对于这种情况，你还有什么推荐的方式或方法吗？其他人是如何处理这个问题的？

继续与他们交谈。关闭他们记录的缺陷，将其标记为无效。

如果所有其他方法都失败了，在他们的测试中记录一个缺陷，然后继续。生命太短暂了。