Tengo algunas experiencias de trabajo con aplicaciones web PHP vulnerables a la inyección de SQL y la explotación exitosa de este tipo de vulnerabilidad, pero nunca intenté hacer esto en una aplicación web basada en ASP. Cuando intentamos descubrir si una aplicación web de PHP es vulnerable a la inyección de SQL, generalmente agregamos una comilla al final de un parámetro de entrada como este:
http://example.com/index.php?id=1'
y si obtenemos un error como este:
Tienes un error en tu sintaxis SQL; consulte el manual que corresponde a la versión de su servidor MySQL para conocer la sintaxis correcta para usar cerca de '' 'en la línea 1
sabemos que es vulnerable. En algunos casos, obtenemos una página en blanco o nos faltan datos en la página, lo que puede significar que es vulnerable.
Entonces, aquí está mi pregunta: si agrego una cita al final de un parámetro de entrada en una página web ASP clásica y obtengo una página en blanco o pierdo algunos datos en esa página, ¿significa que es vulnerable a SQL? ¿inyección? ¿Y hay otras formas de saber si existe una vulnerabilidad de inyección SQL en una aplicación web ASP?