Στο πλαίσιο της καμπάνιας του «Secure by Design», το FBI και η CISA, η υπηρεσία κυβερνοασφάλειας των ΗΠΑ, έχουν δημοσιεύσει οδηγίες για τους προγραμματιστές για την αντιμετώπιση των ευπαθειών SQL injection.
Αυτό το πρόγραμμα, το οποίο ξεκίνησε από την CISA και το FBI, έχει σκοπό να ενημερώσει και να προειδοποιήσει τους προγραμματιστές λογισμικού σχετικά με τις πιθανότητες επιθέσεων SQL injection και να παρέχει τεχνικές μετριασμού.
Το "Secure by Design Alert" κυκλοφόρησε ως απάντηση στα ελαττώματα του Moveit Transfer που επηρέασαν χιλιάδες χρήστες. Η σοβαρότητα και η συχνή εμφάνιση αυτών των προβλημάτων ασφαλείας έχουν επισημανθεί σε έναν οδηγό που ονομάζεται "Eliminating SQL Injection Vulnerabilities in Software".
Για περισσότερα από 20 χρόνια, τα τρωτά σημεία SQL injection έχουν τεκμηριωθεί διεξοδικά και υπάρχουν δοκιμασμένοι τρόποι αποφυγής τους. Παρ' όλα αυτά, οι προγραμματιστές λογισμικού συνέχισαν να κυκλοφορούν προϊόντα με αυτές τις ευπάθειες, θέτοντας σε κίνδυνο μεγάλο αριθμό χρηστών. Οι ενέσεις SQL κατηγοριοποιήθηκαν ως σημαντικές ευπάθειες από την MITER Corporation ήδη από το 2007, αλλά εξακολουθούν να αποτελούν συχνό πρόβλημα ασφάλειας.
Το εγχειρίδιο CISA και FBI περιγράφει λεπτομερώς τα τρωτά σημεία της SQL και προτείνει αντίμετρα, όπως η χρήση "προετοιμασμένων δηλώσεων", που κυκλοφόρησε η MySQL το 2004. Αυτές οι δηλώσεις παρέχουν μια πιο ασφαλή μέθοδο από την απολύμανση εισόδου, η οποία είναι συχνά λιγότερο αποτελεσματική και πιο δύσκολη στην ευρεία ανάπτυξη. Βοηθούν στο διαχωρισμό του κώδικα SQL από τα δεδομένα χρήστη.
Οι κατευθυντήριες γραμμές συνιστούν περαιτέρω ότι η ηγεσία των εταιρειών λογισμικού αναλαμβάνει την ευθύνη της ασφάλειας των πελατών, πιθανώς μέσω επίσημων ελέγχων κώδικα, διαφανών αναφορών γνωστών τρωτών σημείων ασφαλείας, δημιουργίας CVE και οργανωτικών αναδιοργανώσεων με επίκεντρο την ασφάλεια.
Η εκστρατεία «Secure by Design» προωθεί την ενσωμάτωση μέτρων ασφαλείας σε κάθε στάδιο του κύκλου ζωής ανάπτυξης λογισμικού, με την υποστήριξη της CISA και παγκόσμιων συνεργατών. Εκτός από την αντιμετώπιση του SQL injection, παρέχει έναν οδηγό για την πρόληψη του phishing και δίνει έμφαση στους κινδύνους που σχετίζονται με τη χρήση προεπιλεγμένων κωδικών πρόσβασης, όλα με στόχο την προώθηση ενός πιο ασφαλούς διαδικτυακού περιβάλλοντος.
Code Labs Academy Cybersecurity Bootcamp: Μάθετε την κυβερνοασφάλεια στο διαδίκτυο με χρηματοδότηση