如何处理SQL注入响应以获得最佳实践

时间:2015-05-15 03:28:27

标签: c# asp.net security sql-injection

我们正在使用网络安全扫描程序,发现我的某个网页有一个Bind SQLi。扫描程序将参数“news.aspx?id = 123”修改为“news.aspx?i = 123'或1 = 1--”,并且Web服务器当前响应id = 1信息的新闻信息。

经过开发团队的调查后,他们表示没有注入无法访问已被.NET内置API SQL参数阻止的数据库,后端程序将自动返回id = 1信息的数据到客户端。

我可以知道它可以被识别为误报,还是更好地重定向到通用错误页面?或者这对当前阶段是否足够和可接受?

2 个答案:

答案 0 :(得分:4)

  

后端程序会自动将id = 1信息的数据返回给客户端。

IMO,这对后端来说是一种蹩脚的行为。我说该页面应该检测到错误并将用户重定向到错误页面。然而,根据该描述,它不是一个有效的注入,所以如果企业可以接受这种行为,那么这是一种误报。

P.S。虽然这不是SQL注入,但如果可以让页面显示id = 1的数据并且页面的用户不能访问,则可能存在信息泄露错误。那个特别的记录。

答案 1 :(得分:0)

只要您的底层应用程序代码正在参数化发送给SQL的值(正如您的开发人员所声称的那样),那么您无需担心此类警告。