.net 笔测试盲SQL注入和viewstate错误

我有一个asp.net web应用程序正在通过内部IT的笔试。他们正在使用IBM AppScan对web应用程序运行扫描。不断出现的错误之一是viewstate输入字段相关。该工具修改viewstate并将其发送回服务器。服务器抛出一个错误，然后捕获并重定向用户通用错误处理屏幕。AppScan将其标记为盲SQL注入

我正在向IT安全人员解释这件事。我告诉他们，我能做的最好的事情就是捕捉错误并将错误屏幕返回给用户。他们坚持认为正在进行某种SQL注入

对于这种情况，你还推荐其他什么方式或方法？ 其他人如何处理？如果用户故意更改viewstate不是一个错误屏幕，那么最好的回答是什么？

如果短语：

看！这是我记录的该死的错误记录！您可以清楚地看到，由于视图状态无效，应用程序不满意。这是正确的，因为您的视图状态是无效的！如果您认为您已经执行了SQL注入，请告诉我您认为您注入了什么SQL！看，这是我同时做的一个SQL跟踪！给我看看SQL。给我看看SQL

不起作用，那么。。。我不知道，也许不使用viewstate？那会阻止他们

另一种选择是：在内部记录故障，然后将其注销

对于这种情况，你还推荐其他什么方式或方法？其他人如何处理

继续与他们交谈。关闭他们记录的缺陷，将其标记为无效

---

如果所有这些都失败了，在他们的测试中记录一个缺陷，然后继续。生命太短暂。

了解ASP.NET视图状态可能是一个相关的阅读，请参阅本文的自下而上。+1通过修改视图状态来指向SQL注入，这真是太奇怪了