如何处理 SQL 注入响应以获得最佳实践
How to handle the SQL injection response for best practice
我们正在使用网络安全扫描器,它发现我的一个网页有绑定 SQLi。扫描器修改参数"news.aspx?id=123"为"news.aspx?i=123' or 1=1--",Web服务器响应当前id=1信息的新闻信息
经过开发组的调查,他们说没有注入无法访问已经被.NET内置API SQL参数和后端程序阻止的数据库会自动return将id=1信息的数据传给客户端
我可以知道它可以被识别为误报,还是重定向到一般错误页面更好?还是对于现阶段来说已经足够可以接受了?
只要您的底层应用程序代码正在参数化发送到 SQL 的值(正如您的开发人员所声称的那样),那么您就无需担心此类警告。
the back-end program will auto return the data of id=1 information to client side.
IMO,这是后端的一个蹩脚行为。我会说页面应该检测到错误并将用户重定向到错误页面。然而,根据该描述,它不是有效的注入,因此如果企业可以接受该行为,那么它就是误报。
P.S。虽然这不是 SQL 注入,但如果可以让页面显示 id=1 的数据并且页面用户不应该访问该特定记录,则它可能是一个信息泄露错误.
我们正在使用网络安全扫描器,它发现我的一个网页有绑定 SQLi。扫描器修改参数"news.aspx?id=123"为"news.aspx?i=123' or 1=1--",Web服务器响应当前id=1信息的新闻信息
经过开发组的调查,他们说没有注入无法访问已经被.NET内置API SQL参数和后端程序阻止的数据库会自动return将id=1信息的数据传给客户端
我可以知道它可以被识别为误报,还是重定向到一般错误页面更好?还是对于现阶段来说已经足够可以接受了?
只要您的底层应用程序代码正在参数化发送到 SQL 的值(正如您的开发人员所声称的那样),那么您就无需担心此类警告。
the back-end program will auto return the data of id=1 information to client side.
IMO,这是后端的一个蹩脚行为。我会说页面应该检测到错误并将用户重定向到错误页面。然而,根据该描述,它不是有效的注入,因此如果企业可以接受该行为,那么它就是误报。
P.S。虽然这不是 SQL 注入,但如果可以让页面显示 id=1 的数据并且页面用户不应该访问该特定记录,则它可能是一个信息泄露错误.