Я не думаю, что это уязвимость, связанная с переполнением целых чисел, я подозреваю, что это относится к целым числам, поскольку этим типом манипулировали в строке запроса (хотя я знаю, что вы сказали, что они были зашифрованы).Если вы выполняете прямое преобразование ненадежного пользовательского ввода в целое число, а не вначале проверяете тип (как вы говорите, сначала попробуйте выполнить его), вы, вероятно, собираетесь выдать внутреннюю ошибку (за исключением любых попыток / перехватов) иэто то, что они, вероятно, поймут.
Автоматические сканеры немного сходят с ума по ошибкам HTTP 500.Они не знают, что на самом деле происходит под прикрытием и насколько серьезна ошибка, чтобы вы могли утверждать, что это ложноположительный результат.С другой стороны, ваши сотрудники по безопасности будут утверждать, что веб-сайты, легко возвращающие HTTP 500, с большей вероятностью будут подвергнуты дальнейшему исследованию, если бот обнаружит, что вы регулярно выбрасываете эти ошибки в результате манипулирования строками запросов.
Простой ответ: "Все входные данные должны быть проверены по белому списку допустимых диапазонов значений." (от здесь ).