ペンテストブラインドSQLインジェクションとビューステートエラー

Question

私は内部ITによってペンテストを行っているasp.net Webアプリケーションを持っています。彼らは、IBM AppScanを使用してWebアプリケーションに対してスキャンを実行しています。エラーの1つは、viewstateの入力フィールドに関連しています。このツールは、ビューステートを変更してサーバーに戻します。サーバーはエラーをスローし、ユーザーの汎用エラー処理画面をキャッチしてリダイレクトします。 AppScanはこれをブラインドSQLインジェクションとマークします。

私はこれをITセキュリティ担当者に説明しています。私ができることは、エラーをキャッチして、エラー画面をユーザーに返すことです。彼らは何らかのSQLインジェクションが起こっていると主張しています。

このような状況では、他にどのような方法や方法をお勧めしますか？ 他の人はどのようにこれを処理しますか？ユーザーが故意にviewstateを変更した場合は、エラー画面ではありません。

Answer 1

フレーズの場合：

見て！ここに私が記録した誤りの記録があります！あなたは明らかに見ることができます、アプリケーションは無効なビュー状態のために不幸です。あなたのビューステートがであるため、どちらが正しいですか！あなたがSQLインジェクションを行ったと思ったら、あなたが注射したと思っているSQLを教えてください！見て、ここで私は同じ時間に取ったSQLトレースです！私にSQLを見せてください。 SQLを表示してください！

私は気にしません、おそらくviewstateを使用しないでください？それはそれらを止めるでしょう...

もう一つの選択肢は：内部でフォールトを記録し、それらをログアウトするだけです。

Answer 2

このような状況では、他にどのような方法や方法をお勧めしますか？どのように他の人はこれを処理するのですか

引き続き話し合います。ログに記録された欠陥を無効にし、無効とマークします。

他のすべてが失敗した場合は、テストに不具合を記録してください。人生は短すぎる。