¿Qué debería (o) cómo debe (o) seguir un controlador de incidentes cuando se informa de un ataque de inyección de SQL?
Apuntar a hacer una guía de procedimientos para seguir por mí y por mi equipo. Breve o detalle, cualquier cosa ayudaría.
1) La Respuesta Inicial puede estar desconectando el módulo / sección particular de la página o parchearlo en IPS o WAF. Después de eso, debes verificar lo mismo primero con cualquier proxy web como Burpsuite o ZAP, si la vulnerabilidad informada es falsa positiva o una amenaza real. También puede usar una herramienta llamada SQLMAP para reducir el esfuerzo en la verificación.
2) Para la parte de análisis, puede ver qué tipo de datos puede obtener usando ese vector de ataque. También puede ver qué roles se asignan al usuario web y qué privilegios se otorgan. Dependiendo de la exposición y el impacto de la vulnerabilidad, puede decidir la acción.
3) Para la resolución, puede colocar la validación del lado del servidor en el vector de entrada. También puede cambiar la sentencia de SQL en el código real a Parameterized SQL Query. Un procedimiento detallado para la mitigación se puede encontrar aquí. enlace
PD: para evitar que esto suceda, debe considerar el análisis del código fuente en el momento del desarrollo y, una vez completada la compilación, una prueba de penetración o prueba de penetración dinámica. Esto reducirá las sorpresas en tiempo real.
Lea otras preguntas en las etiquetas sql-injection injection soc