我们正在使用网络安全扫描程序,发现我的某个网页有一个Bind SQLi。扫描程序将参数“news.aspx?id = 123”修改为“news.aspx?i = 123'或1 = 1--”,并且Web服务器当前响应id = 1信息的新闻信息。
经过开发团队的调查后,他们表示没有注入无法访问已被.NET内置API SQL参数阻止的数据库,后端程序将自动返回id = 1信息的数据到客户端。
我可以知道它可以被识别为误报,还是更好地重定向到通用错误页面?或者这对当前阶段是否足够和可接受?
答案 0 :(得分:4)
后端程序会自动将id = 1信息的数据返回给客户端。
IMO,这对后端来说是一种蹩脚的行为。我说该页面应该检测到错误并将用户重定向到错误页面。然而,根据该描述,它不是一个有效的注入,所以如果企业可以接受这种行为,那么这是一种误报。
P.S。虽然这不是SQL注入,但如果可以让页面显示id = 1的数据并且页面的用户不能访问,则可能存在信息泄露错误。那个特别的记录。
答案 1 :(得分:0)
只要您的底层应用程序代码正在参数化发送给SQL的值(正如您的开发人员所声称的那样),那么您无需担心此类警告。