Получение ложноположительных отчетов о внедрении SQL

Мы установили новый брандмауэр Juniper SRX с IDP, поэтому брандмауэр проверяет трафик на предмет подозрительной активности.

Я обнаружил 3 «ложноположительных» отчета об атаках с использованием SQL-инъекций, которые являются просто подлинным использованием:

• При использовании веб-почты mDaemon попытка пересылки сообщения считалась попыткой SQL-инъекции
• В веб-приложении .NET ввод текста в текстовое поле и нажатие кнопки «Отправить» запускало SQL-инъекцию. Это было одно предложение, которое, казалось, сбило с толку - про инженера, который едет в Бейзингсток из Южного Уэльса. Удалите это предложение, все работало нормально.
• В классическом ASP-приложении - попытка сохранить отчет (за кулисами страница считывает все выбранные флажки и вставляет их в таблицу базы данных). Ключевое слово, вызывающее неверное предупреждение, - "Goodmans".

Со второй проблемой выше, если я вставил текстовый контент в другое веб-приложение (я просто скопировал контент в другую, несвязанную классическую форму asp с разными объектами), проблем не возникло бы вообще. С третьей проблемой приложение работает нормально - именно этот конкретный набор параметров, который мы обнаружили, заставляет брандмауэр разрывать соединение.

Единственный способ решить проблему с mDaemon - это исключить сервер из политики IDP.

Я собираюсь отправить в Juniper запрос в службу поддержки, чтобы помочь найти исправление, но как все остальные справляются с ложными срабатываниями? Что еще можно сделать? Меня беспокоит, что есть другие условия, которые вызовут больше, и это будет бесконечное упражнение. За исключением того, что мы можем не знать о многих ложных срабатываниях, потому что пользователи предполагают, что веб-сайт упал, и просто сдаются (или не сообщают о том, что они сделали / не могут повторить это во второй раз).

Дополнительная информация В случае третьей проблемы, проблема не только в "хороших манерах", она гораздо более распространена!