Im Rahmen der Kampagne "Secure by Design" haben das FBI und die US-amerikanische Cybersicherheitsbehörde CISA Leitlinien für Entwickler zur Behebung von Schwachstellen durch SQL-Injection veröffentlicht.
Dieses von der CISA und dem FBI ins Leben gerufene Programm soll Softwareentwickler über das Potenzial von SQL-Injection-Angriffen informieren und warnen sowie Techniken zur Schadensbegrenzung bereitstellen.
Der "Secure by Design Alert" wurde als Reaktion auf die Fehler in Moveit Transfer veröffentlicht, von denen Tausende von Benutzern betroffen waren. Die Schwere und das häufige Auftreten dieser Sicherheitsprobleme wurden in einem Leitfaden mit dem Titel["Eliminating SQL Injection Vulnerabilities in Software](https://www.cisa.gov/sites/default/files/2024-03/SbD Alert - Eliminating SQL Injection Vulnerabilities in Software_508c.pdf)" hervorgehoben.
Seit mehr als 20 Jahren sind die Schwachstellen der SQL-Injection gründlich dokumentiert, und es gibt erprobte Möglichkeiten, sie zu umgehen. Trotzdem haben Softwareentwickler weiterhin Produkte mit diesen Schwachstellen veröffentlicht und damit eine große Zahl von Benutzern gefährdet. SQL-Injections wurden von der MITRE Corporation bereits 2007 als schwerwiegende Sicherheitslücken eingestuft, sind aber immer noch ein häufiges Sicherheitsproblem.
Das CISA- und FBI-Handbuch beschreibt SQL-Schwachstellen im Detail und schlägt Gegenmaßnahmen vor, wie die Verwendung von "Prepared Statements", die MySQL im Jahr 2004 eingeführt hat. Diese Anweisungen bieten eine sicherere Methode als die Bereinigung von Eingaben, die häufig weniger effizient und schwieriger zu implementieren ist. Sie helfen dabei, den SQL-Code von den Benutzerdaten zu trennen.
Die Richtlinien empfehlen außerdem, dass die Führungskräfte von Softwareunternehmen die Verantwortung für die Sicherheit ihrer Kunden übernehmen, möglicherweise durch formale Codeüberprüfungen, transparente Berichterstattung über bekannte Sicherheitslücken, CVE-Erstellung und sicherheitsorientierte organisatorische Umstrukturierungen.
Die Kampagne "Secure by Design" fördert die Integration von Sicherheitsmaßnahmen in jeder Phase des Softwareentwicklungszyklus und wird dabei von der CISA und globalen Partnern unterstützt. Sie befasst sich nicht nur mit der SQL-Injektion, sondern bietet auch einen Leitfaden zur Phishing-Prävention und weist auf die Risiken hin, die mit der Verwendung von Standardpasswörtern verbunden sind - alles mit dem Ziel, eine sicherere Online-Umgebung zu fördern.