如何处理SQL注入响应以获得最佳实践
本文关键字:最佳 响应 注入 何处理 处理 SQL | 更新日期: 2023-09-27 17:49:14
我们正在使用网络安全扫描仪,发现我的一个网页有绑定SQLi。扫描程序修改了参数news.aspx?Id =123" to "news.aspx?i=123'或1=1——",web服务器响应当前id=1的新闻信息。
经过开发团队的调查,他们说没有注入不能访问已经被。net内置API SQL参数阻塞的数据库,后端程序会自动返回id=1信息的数据给客户端。
我可以知道它可以被识别为假阳性,还是重定向到一般错误页面更好?或者对于现阶段来说已经足够可以接受了?
在我看来,这对后端来说是一种蹩脚的行为。我认为页面应该检测到错误并将用户重定向到错误页面。然而,根据该描述,它不是一个有效的注入,因此,如果业务可以接受该行为,那么它就是一个假阳性。后端程序自动将id=1信息的数据返回给客户端。
注:虽然这不是SQL注入,但如果有可能让页面显示id=1的数据,并且该页的用户不应该访问该特定记录,那么这可能是一个信息泄露错误。
只要您的底层应用程序代码将发送给SQL的值参数化(正如您的开发人员所声称的),那么您就不需要担心此类警告。