Can we come to a conclusion that the application is vulnerable to SQL Injection or XSS attacks.
Perché lo penseresti?
Se il payload XSS iniettato non viene mostrato, non esiste una vulnerabilità XSS (almeno non riflessa, non possiamo dire nulla riguardo a persistente).
Non possiamo dire nulla sull'iniezione SQL. Può esserci o non esserne uno, la presenza di un messaggio di errore non lo dice in alcun modo, è necessario eseguire ulteriori test (e abilitare i messaggi di errore se è possibile).
Il fatto di ricevere un messaggio di errore generico indica solo che la richiesta non è valida, ma non perché. Potrebbe essere che l'applicazione si aspettasse un numero intero, ma ha ottenuto una stringa, e quindi mostra un errore (questo è come dovrebbe essere). Potrebbe anche essersi iniettato in una query e averlo rotto, ottenendo così un messaggio di errore (questo non dovrebbe accadere), o potrebbe essere un numero di problemi diversi.