Im Rahmen ihrer „Secure by Design“-Kampagne haben das FBI und CISA, die US-amerikanische Cybersicherheitsbehörde, Richtlinien für Entwickler zur Behebung von SQL-Injection-Schwachstellen veröffentlicht.
Dieses von CISA und dem FBI ins Leben gerufene Programm soll Softwareentwickler über das Potenzial von SQL-Injection-Angriffen informieren und warnen sowie Techniken zur Abwehr bereitstellen.
Der „Secure by Design Alert“ wurde als Reaktion auf Mängel bei Moveit Transfer veröffentlicht, von denen Tausende von Benutzern betroffen waren. Die Schwere und das häufige Auftreten dieser Sicherheitsprobleme wurden in einem Leitfaden mit dem Titel „Beseitigung von SQL-Injection-Schwachstellen in Software hervorgehoben. 20-%20Eliminating%20SQL%20Injection%20Vulnerabilities%20in%20Software_508c.pdf)“.
Seit mehr als 20 Jahren sind SQL-Injection-Schwachstellen ausführlich dokumentiert und es gibt getestete Möglichkeiten, sie zu vermeiden. Dennoch haben Softwareentwickler weiterhin Produkte mit diesen Schwachstellen veröffentlicht, was eine große Anzahl von Benutzern gefährdet. SQL-Injections wurden von der MITRE Corporation bereits 2007 als erhebliche Schwachstellen eingestuft, sie stellen jedoch immer noch ein häufiges Sicherheitsproblem dar.
Das CISA- und FBI-Handbuch beschreibt SQL-Schwachstellen im Detail und schlägt Gegenmaßnahmen vor, beispielsweise die Verwendung von „vorbereiteten Anweisungen“, die MySQL 2004 veröffentlichte. Diese Anweisungen bieten eine sicherere Methode als die Eingabebereinigung, die häufig weniger effizient und schwieriger auf breiter Basis einzusetzen ist. Sie helfen dabei, SQL-Code von Benutzerdaten zu trennen.
Die Richtlinien empfehlen außerdem, dass die Führung von Softwareunternehmen Verantwortung für die Kundensicherheit übernimmt, möglicherweise durch formelle Codeüberprüfungen, transparente Meldung bekannter Sicherheitslücken, CVE-Erstellung und sicherheitsorientierte organisatorische Umstrukturierungen.
Die Kampagne „Secure by Design“ fördert die Integration von Sicherheitsmaßnahmen in jeder Phase des Softwareentwicklungslebenszyklus, mit Unterstützung von CISA und globalen Partnern. Zusätzlich zum Thema SQL-Injection bietet es einen Leitfaden zur Phishing-Prävention und betont die Risiken, die mit der Verwendung von Standardkennwörtern verbunden sind, alles mit dem Ziel, eine sicherere Online-Umgebung zu fördern.
Code Labs Academy Cybersecurity Bootcamp: Lernen Sie Cybersicherheit online mit Finanzierung