AppScan扫描“盲注”解决方法及“思路”。。。

手上的项目快上生产了，最近一直在做项目的bug修改，蛋疼的是团队中木有软件测试人员，只能自己来了，，，/(ㄒoㄒ)/~~

用AppScan扫描项目的某几个模块总是一直会出现sql盲注的问题（sql注入的一种），返回状态码501，看了下appscan的修订建议：过滤特殊字符。。那么问题来了，在后台所有有关数据提交到数据库以及和数据库有交互的地方我都做了特殊字符的过滤，另外sql语句都是用的预编译，并无拼接sql的情况。。so我迷茫了。。迷茫了一个礼拜。。。。。。。。。

先是根据有sql盲注的链接地址去查找后台是否有上面两种问题没做到，发现没有。。。迷茫。。。。。。。。。。。

然后又根据返回状态码501去百度了下哪些情况会导致页面报错501的情况，查到说是提交了PUT / DELETE的请求方式，起始我再日志中还确实发现了有put的请求过来，但是盲注发生的时间点对不上，我想难道log中有的PUT请求没捕捉到？？？于是写了个监听器去检测项目中是否有收到PUT类型的请求，有则立即打印下来。。结果跑一遍下来还真有几个，然后去查看log信息，时间点和地址信息都与盲注的报错信息对不上。。迷茫。。。。。。。。。。。。。

。。。。。。。

然后考虑了无数长时间，几乎这个模块的所有代码都看了一遍，，，，，头大了。。。。。。。。。

。。。。。。。

昨天晚上无意中想到，是不是AppScan软件会误报。

于是跑去群里问了一圈，详细的我也听不懂，只知道就是会有误报的情况存在，概率还不小。。。此时心里有点小激动了卧槽。。。。。。。。。。。

立马百度，找了好久找到两篇关于AppScan误报的IBM官方文档（有同样情况的同学请注意了）：

Common causes for a "Blind SQL Injection" false positive in AppScan Enterprise

http://www-01.ibm.com/support/docview.wss?uid=swg21674465

Troubleshooting False Positives in AppScan Enterprise

http://www-01.ibm.com/support/docview.wss?uid=swg21674425

两篇文档大概意思就是AppScan会影响服务器的负载/状态等，所有是很有可能出现误报的。验证方法
1：把错误的页面单独反复测试
2：把AppScan扫描的线程数改成1（默认10）
若以上木有问题出现的话基本就是误报了。。。。。。。

试了无数次---误报。。。。。。。
。。我还能说啥好呢。。。。。快疯了--------------------------------