¿Podemos llegar a la conclusión de que la aplicación es vulnerable a la inyección de SQL o los ataques XSS?
¿Por qué piensas eso?
Si la carga útil XSS inyectada no se muestra, no hay una vulnerabilidad de XSS (al menos no se refleja; no podemos decir nada sobre persistente).
No podemos decir nada sobre la inyección de SQL. Puede o no puede haber uno, la presencia de un mensaje de error no indica de ninguna manera, debe realizar más pruebas (y habilitar los mensajes de error si es posible).
El hecho de que reciba un mensaje de error genérico solo le dice que su solicitud no fue válida, pero no por qué. Podría ser que la aplicación esperara un número entero pero obtuviera una cadena y, por lo tanto, muestre un error (así es como debería ser). También podría ser que usted haya inyectado en una consulta y la haya roto, y así haya recibido un mensaje de error (esto no debería ocurrir), o puede tratarse de una serie de problemas diferentes.