Runtitme La pagina di errore viene visualizzata per payload XSS o SQL injection

2

Quando ho manipolato l'URI di un'applicazione con alcuni payload SQL o XSS, sono in grado di vedere una pagina di errore di runtime. Possiamo arrivare alla conclusione che l'applicazione è vulnerabile agli attacchi SQL Injection o XSS.

Si prega di suggerire

    
posta Sai Dutt Mekala 22.03.2017 - 14:10
fonte

1 risposta

2

Can we come to a conclusion that the application is vulnerable to SQL Injection or XSS attacks.

Perché lo penseresti?

Se il payload XSS iniettato non viene mostrato, non esiste una vulnerabilità XSS (almeno non riflessa, non possiamo dire nulla riguardo a persistente).

Non possiamo dire nulla sull'iniezione SQL. Può esserci o non esserne uno, la presenza di un messaggio di errore non lo dice in alcun modo, è necessario eseguire ulteriori test (e abilitare i messaggi di errore se è possibile).

Il fatto di ricevere un messaggio di errore generico indica solo che la richiesta non è valida, ma non perché. Potrebbe essere che l'applicazione si aspettasse un numero intero, ma ha ottenuto una stringa, e quindi mostra un errore (questo è come dovrebbe essere). Potrebbe anche essersi iniettato in una query e averlo rotto, ottenendo così un messaggio di errore (questo non dovrebbe accadere), o potrebbe essere un numero di problemi diversi.

    
risposta data 22.03.2017 - 14:29
fonte

Leggi altre domande sui tag