A „Secure by Design” kampány részeként az FBI és a CISA, az Egyesült Államok kiberbiztonsági ügynöksége iránymutatásokat tett közzé a fejlesztők számára az SQL-injekciós sebezhetőségek kezelésére.
Ez a CISA és az FBI által elindított program célja, hogy tájékoztassa és figyelmeztesse a szoftverfejlesztőket az SQL injekciós támadások lehetőségeiről, valamint mérséklő technikákat biztosítson.
A "Secure by Design Alert" a Moveit Transfer hibáira válaszul jelent meg, amelyek több ezer felhasználót érintettek. Ezeknek a biztonsági problémáknak a súlyosságát és gyakori előfordulását az „SQL-injekciós sebezhetőségek kiküszöbölése Szoftver".
Több mint 20 éve alaposan dokumentálják az SQL-befecskendezési sebezhetőségeket, és vannak tesztelt módszerek ezek elkerülésére. A szoftverfejlesztők ennek ellenére folytatták az ilyen sérülékenységekkel rendelkező termékek kibocsátását, ezzel sok felhasználót veszélyeztetve. Az SQL-injekciókat a MITER Corporation már 2007-ben a jelentős sebezhetőségek közé sorolta, de még mindig gyakori biztonsági probléma.
A CISA és az FBI kézikönyve részletesen leírja az SQL sebezhetőségeit, és ellenintézkedéseket javasol, például "előkészített nyilatkozatok" használatát, amelyeket a MySQL 2004-ben adott ki. Ezek az utasítások biztonságosabb módszert kínálnak, mint a bemeneti fertőtlenítés, amely gyakran kevésbé hatékony és nehezebb széles körben telepíteni. Segítenek az SQL-kód és a felhasználói adatok elkülönítésében.
Az irányelvek továbbá azt javasolják, hogy a szoftvercégek vezetése vegye át az ügyfelek biztonságát, esetleg formális kódellenőrzések, az ismert biztonsági rések átlátható jelentése, CVE létrehozása és a biztonságra fókuszáló szervezeti átszervezések révén.
A „Secure by Design” kampány a CISA és a globális partnerek támogatásával támogatja a biztonsági intézkedések integrálását a szoftverfejlesztési életciklus minden szakaszában. Amellett, hogy foglalkozik az SQL-befecskendezéssel, útmutatót ad az adathalászat megelőzéséhez, és hangsúlyozza az alapértelmezett jelszavak használatával kapcsolatos kockázatokat, mindezt egy biztonságosabb online környezet előmozdítása érdekében.
Code Labs Academy Cybersecurity Bootcamp: Tanuljon kiberbiztonságot online finanszírozás segítségével