«Secure by Design» խթանում. CISA-ի և ՀԴԲ-ի արշավը SQL ներարկման սպառնալիքների դեմ պայքարելու համար

«Secure by Design» խթանում. CISA-ի և ՀԴԲ-ի արշավը SQL ներարկման սպառնալիքների դեմ պայքարելու համար

Որպես իր «Secure by Design» արշավի մի մաս, ՀԴԲ-ն և CISA-ն՝ ԱՄՆ կիբերանվտանգության գործակալությունը, ծրագրավորողների համար հրապարակել են ուղեցույցներ՝ SQL ներարկման խոցելիությունը լուծելու համար:

Այս ծրագիրը, որը սկսվել է CISA-ի և ՀԴԲ-ի կողմից, նպատակ ունի տեղեկացնել և նախազգուշացնել ծրագրակազմ մշակողներին SQL ներարկման հարձակումների հնարավորության մասին և տրամադրել մեղմացման մեթոդներ:

«Secure by Design Alert»-ը թողարկվել է ի պատասխան Moveit Transfer-ի թերությունների, որոնք ազդել են հազարավոր օգտատերերի վրա: Անվտանգության այս խնդիրների ծանրությունն ու հաճախակի առաջացումը ընդգծված են ուղեցույցում, որը կոչվում է «SQL Injection Vulnerabilities in Software: 20-%20Վերացնելով%20SQL%20Injection%20Խոցելիությունները%20in%20Software_508c.pdf)":

Ավելի քան 20 տարի SQL ներարկման խոցելիությունները մանրակրկիտ փաստագրված են, և կան դրանցից խուսափելու փորձարկված եղանակներ: Ծրագրային ապահովման մշակողները շարունակել են թողարկել այս խոցելիություններով արտադրանքները, չնայած դրան՝ վտանգելով մեծ թվով օգտատերերի: SQL ներարկումները MITER Corporation-ի կողմից դասակարգվել են որպես էական խոցելիություններ դեռևս 2007թ.-ին, բայց դրանք դեռ հաճախակի անվտանգության խնդիր են:

CISA-ի և FBI-ի ձեռնարկը մանրամասն նկարագրում է SQL-ի խոցելիությունը և առաջարկում հակաքայլեր, ինչպիսիք են «պատրաստված հայտարարությունների» օգտագործումը, որոնք MySQL-ն թողարկել է 2004 թվականին: Նրանք օգնում են բաժանել SQL կոդը օգտվողի տվյալներից:

Ուղեցույցներն այնուհետև խորհուրդ են տալիս ծրագրային ապահովման ընկերությունների ղեկավարությանը տիրապետել հաճախորդների անվտանգությանը, հնարավոր է, որ կոդերի պաշտոնական վերանայման, հայտնի անվտանգության խոցելիության թափանցիկ հաշվետվությունների, CVE-ի ստեղծման և անվտանգության վրա հիմնված կազմակերպչական վերակազմակերպումների միջոցով:

«Secure by Design» արշավը նպաստում է անվտանգության միջոցների ինտեգրմանը ծրագրային ապահովման մշակման կյանքի ցիկլի յուրաքանչյուր փուլում՝ CISA-ի և համաշխարհային գործընկերների աջակցությամբ: Ի լրումն SQL ներարկման, այն ապահովում է ֆիշինգի կանխարգելման ուղեցույց և ընդգծում է լռելյայն գաղտնաբառերի օգտագործման հետ կապված ռիսկերը, այս ամենը նպատակ ունենալով խթանել ավելի անվտանգ առցանց միջավայր:

Ընդհանուր ակնարկ

Մոտ

Դասընթացներ

Իրավական

ԿԱՊԵՔ ՄԵԶ

ԶԱՆԳԱՀԱՐԵԼ:

+44 20 4579 7873
+49 30 83793271

ՀԵՏԵՎԵՔ ՄԵԶ:

Code Labs Academy © 2024 Բոլոր իրավունքները պաշտպանված են.