Som en del av sin 'Secure by Design'-kampanje har FBI og CISA, det amerikanske cybersikkerhetsbyrået, publisert retningslinjer for utviklere for å adressere SQL-injeksjonssårbarheter.
Dette programmet, som ble startet av CISA og FBI, skal informere og advare programvareutviklere om potensialet til SQL-injeksjonsangrep og tilby avbøtende teknikker.
"Secure by Design Alert" ble utgitt som svar på Moveit Transfer-feil som berørte tusenvis av brukere. Alvorlighetsgraden og hyppig forekomst av disse sikkerhetsproblemene har blitt fremhevet i en veiledning kalt "Eliminating SQL Injection Vulnerabilities in Programvare".
I mer enn 20 år har SQL-injeksjonssårbarheter blitt grundig dokumentert, og det finnes testede måter å unngå dem på. Programvareutviklere har fortsatt å gi ut produkter med disse sårbarhetene til tross for dette, og satt et stort antall brukere i fare. SQL-injeksjoner ble kategorisert som betydelige sårbarheter av MITER Corporation allerede i 2007, men de er fortsatt et hyppig sikkerhetsproblem.
CISA og FBI-håndboken beskriver SQL-sårbarheter i detalj og foreslår mottiltak, som å bruke "prepared statements", som MySQL ga ut i 2004. Disse uttalelsene gir en sikrere metode enn input-sanering, som ofte er mindre effektiv og vanskeligere å distribuere bredt. De hjelper til med å skille SQL-kode fra brukerdata.
Retningslinjene anbefaler videre at ledelsen i programvareselskaper tar eierskap til kundesikkerhet, eventuelt gjennom formelle kodegjennomganger, transparent rapportering av kjente sikkerhetssårbarheter, opprettelse av CVE og sikkerhetsfokuserte organisatoriske omorganiseringer.
"Secure by Design"-kampanjen fremmer integrering av sikkerhetstiltak i alle stadier av programvareutviklingens livssyklus, med støtte fra CISA og globale partnere. I tillegg til å adressere SQL-injeksjon, gir den en veiledning om forebygging av phishing og understreker risikoen forbundet med bruk av standardpassord, alt med målet om å fremme et sikrere nettmiljø.
Code Labs Academy Cybersecurity Bootcamp: Lær cybersikkerhet på nett med finansiering