渗透测试盲 SQL 注入和视图状态错误

Question

我有一个 ASP.NET Web 应用程序，正在接受内部 IT 人员的笔测试。他们使用 IBM AppScan 对 Web 应用程序运行扫描。不断出现的错误之一是与视图状态输入字段相关的错误。该工具修改视图状态并将其发送回服务器。服务器抛出错误，然后捕获并重定向用户通用错误处理屏幕。 AppScan 将其标记为盲 SQL 注入。

我正在向 IT 安全人员解释这一点。我告诉他们，我能做的最好的事情就是捕获错误并向用户返回错误屏幕。他们坚称存在某种 SQL 注入。

对于这种情况，您推荐什么其他方式或方法？ 其他人如何处理这个问题？如果用户故意更改视图状态，错误屏幕不是最好的回复吗？

Answer 1

如果短语：

看！这是我记录的该死的错误记录！您可以清楚地看到，应用程序由于无效的视图状态而不满意。这是正确的，因为您的视图状态无效！如果您认为您执行了 SQL 注入，请告诉我您认为您注入了什么 SQL！看，这是我同时拍摄的 SQL 跟踪！显示 SQL。显示 SQL！

不起作用，那么...我不知道，也许不使用视图状态？这会阻止他们...

另一个选择是：在内部记录故障，然后将它们注销。

Answer 2

对于这种情况，您还推荐什么其他方式或方法？其他人如何处理这个问题？

继续和他们交谈。关闭他们记录的缺陷，将其标记为无效。

如果一切都失败了，请在测试中记录缺陷并继续。生命太短暂了。