Проверка пера вслепую SQL-инъекция и ошибка состояния

Question

У меня есть веб-приложение asp.net, которое проходит внутренний тест ИТ-специалистов. Они используют IBM AppScan для запуска сканирования веб-приложения. Одна из ошибок, которая продолжает появляться, связана с полем ввода viewstate. Инструмент изменяет состояние представления и отправляет его обратно на сервер. Сервер выдает ошибку, затем перехватывает и перенаправляет пользовательский экран обработки общих ошибок. AppScan помечает это как слепую инъекцию SQL.

Я объясняю это парням по информационной безопасности. Я говорю им, что лучшее, что я могу сделать, это перехватить ошибку и вернуть экран ошибки пользователю. Они настаивают на том, что происходит какая-то инъекция SQL.

Какой другой способ или метод вы рекомендуете для такой ситуации? Как другие справляются с этим? Если пользователь намеренно меняет состояние просмотра, не является ли экран ошибок лучшим ответом?

Answer 1

Если фраза:

Смотри!Вот чертова запись об ошибке, которую я зарегистрировал!Вы можете ясно видеть, что приложение недовольно из-за недопустимого состояния просмотра.Что верно, потому что ваше состояние просмотра было недействительным !Если вы думаете, что выполнили SQL-инъекцию, скажите, пожалуйста, какой SQL вы ввели!Смотри, вот трассировка SQL, которую я взял в то же время!Покажи мне SQL.ПОКАЗАТЬ МНЕ SQL!

не работает, тогда ... Я не знаю, может быть, не использовать viewstate?Это остановит их ...

Другой вариант будет просто: зарегистрировать ошибку внутри, и просто выйти из нее.

Answer 2

Какой другой способ или метод вы рекомендуете для такой ситуации?Как другие справляются с этим?

Продолжайте разговаривать с ними.Закройте зарегистрированный дефект, пометив его как недействительный.

Если ничего не помогает, зарегистрируйте дефект в их тестах и ​​продолжайте.Жизнь слишком коротка.