3

内部 IT による侵入テストを受けている asp.net Web アプリがあります。彼らは IBM AppScan を使用して、Web アプリに対してスキャンを実行しています。発生し続けるエラーの 1 つは、viewstate 入力フィールド関連です。ツールはビューステートを変更し、それをサーバーに送り返します。サーバーはエラーをスローし、ユーザーの一般的なエラー処理画面をキャッチしてリダイレクトします。AppScan は、これをブラインド SQL インジェクションとしてマークします。

私はこれを IT セキュリティ担当者に説明しています。私にできる最善のことは、エラーをキャッチしてエラー画面をユーザーに返すことだと伝えます。彼らは、何らかの SQL インジェクションが行われていると主張しています。

この種の状況に対して、他にどのような方法または方法をお勧めしますか? 他の人はこれをどのように処理しますか? ユーザーが意図的にビューステートを変更した場合、エラー画面が最良の回答ではないでしょうか?

4

2 に答える 2

4

フレーズの場合:

見て!これが私がログに記録した忌まわしいエラー記録です! 無効なビュー ステートが原因で、アプリケーションが問題を抱えていることがはっきりとわかります。あなたのビューステートが無効だったので、これは正しいです! SQL インジェクションを実行したと思われる場合は、どの SQL をインジェクトしたと思われるか教えてください。ほら、これが私が同時に取ったSQLトレースです!SQLを見せてください。SQLを見せて!

うまくいかない... わからない、おそらくビューステートを使用しないのですか?それは彼らを止めるでしょう...

もう 1 つのオプションは、エラーを内部的にログに記録し、ログオフすることです。

于 2011-12-25T23:15:15.540 に答える
2

この種の状況に対して、他にどのような方法または方法をお勧めしますか? 他の人はこれをどのように処理しますか?

彼らと話を続けます。ログに記録した欠陥を閉じて、無効としてマークします。

他のすべてが失敗した場合は、テストに欠陥を記録して先に進みます。人生は短すぎる。

于 2011-12-25T23:25:51.370 に答える