«Secure by Design» խթանում. CISA-ի և ՀԴԲ-ի արշավը SQL ներարկման սպառնալիքների դեմ պայքարելու համար

«Secure by Design» խթանում. CISA-ի և ՀԴԲ-ի արշավը SQL ներարկման սպառնալիքների դեմ պայքարելու համար

Որպես իր «Secure by Design» արշավի մի մաս, ՀԴԲ-ն և CISA-ն՝ ԱՄՆ կիբերանվտանգության գործակալությունը, ծրագրավորողների համար հրապարակել են ուղեցույցներ՝ SQL ներարկման խոցելիությունը լուծելու համար:

Այս ծրագիրը, որը սկսվել է CISA-ի և ՀԴԲ-ի կողմից, նպատակ ունի տեղեկացնել և նախազգուշացնել ծրագրակազմ մշակողներին SQL ներարկման հարձակումների հնարավորության մասին և տրամադրել մեղմացման մեթոդներ:

«Secure by Design Alert»-ը թողարկվել է ի պատասխան Moveit Transfer-ի թերությունների, որոնք ազդել են հազարավոր օգտատերերի վրա: Անվտանգության այս խնդիրների ծանրությունը և հաճախակի առաջացումը ընդգծված են ուղեցույցում, որը կոչվում է «Eliminating SQL Injection Vulnerabilities in Ծրագրային ապահովում»:

Ավելի քան 20 տարի SQL ներարկման խոցելիությունները մանրակրկիտ փաստագրված են, և կան դրանցից խուսափելու փորձարկված եղանակներ: Ծրագրային ապահովման մշակողները շարունակել են թողարկել այս խոցելիություններով արտադրանքները, չնայած դրան՝ վտանգելով մեծ թվով օգտատերերի: SQL ներարկումները դասակարգվել են որպես զգալի խոցելիություններ MITER կորպորացիայի կողմից դեռևս 2007թ.-ին, սակայն դրանք դեռ հաճախակի անվտանգության խնդիր են:

CISA-ի և FBI-ի ձեռնարկը մանրամասն նկարագրում է SQL-ի խոցելիությունը և առաջարկում հակաքայլեր, ինչպիսիք են «պատրաստված հայտարարությունների» օգտագործումը, որոնք MySQL-ն թողարկել է 2004 թվականին: Նրանք օգնում են բաժանել SQL կոդը օգտվողի տվյալներից:

Ուղեցույցներն այնուհետև խորհուրդ են տալիս ծրագրային ապահովման ընկերությունների ղեկավարությանը տիրապետել հաճախորդների անվտանգությանը, հնարավոր է, որ կոդերի պաշտոնական վերանայման, հայտնի անվտանգության խոցելիության թափանցիկ հաշվետվությունների, CVE-ի ստեղծման և անվտանգության վրա հիմնված կազմակերպչական վերակազմակերպումների միջոցով:

«Secure by Design» արշավը նպաստում է անվտանգության միջոցների ինտեգրմանը ծրագրային ապահովման մշակման կյանքի ցիկլի յուրաքանչյուր փուլում՝ CISA-ի և համաշխարհային գործընկերների աջակցությամբ: Ի հավելումն SQL ներարկման, այն տրամադրում է ֆիշինգի կանխարգելման ուղեցույց և ընդգծում է կանխադրված գաղտնաբառերի օգտագործման հետ կապված ռիսկերը, այս ամենը նպատակ ունենալով խթանել ավելի անվտանգ առցանց միջավայր:

Code Labs Academy Կիբերանվտանգության Bootcamp. Իմացեք կիբերանվտանգությունը առցանց՝ ֆինանսավորմամբ

Ընդհանուր ակնարկ

Մոտ

Դասընթացներ

Իրավական

ԿԱՊԵՔ ՄԵԶ

ԶԱՆԳԱՀԱՐԵԼ:

+44 20 4579 7873
+49 30 83793271

ՀԵՏԵՎԵՔ ՄԵԶ:

Code Labs Academy © 2025 Բոլոր իրավունքները պաշտպանված են.