Ho alcune esperienze di lavoro con applicazioni Web PHP vulnerabili all'iniezione SQL e sfruttano questo tipo di vulnerabilità con successo ma non ho mai provato a farlo su un'applicazione web basata su ASP. Quando proviamo a scoprire se un'applicazione web PHP è vulnerabile all'iniezione SQL, di solito aggiungiamo un solo preventivo alla fine di un parametro di input come questo:
http://example.com/index.php?id=1'
e se otteniamo un errore del genere:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''' at line 1
sappiamo che è vulnerabile. In alcuni casi otteniamo una pagina vuota o mancano alcuni dati sulla pagina che possono significare che è vulnerabile.
Quindi ecco la mia domanda: se aggiungo una virgoletta singola alla fine di un parametro di input in una classica pagina Web ASP e ottengo una pagina vuota o mi manca alcuni dati su quella pagina, vuol dire che è vulnerabile a SQL iniezione? Esistono altri modi per sapere se esiste una vulnerabilità di SQL injection in un'applicazione Web ASP?