Als onderdeel van de 'Secure by Design'-campagne hebben de FBI en CISA, de Amerikaanse instantie voor cyberbeveiliging, richtlijnen gepubliceerd voor ontwikkelaars om SQL-injectiekwetsbaarheden aan te pakken.
Dit programma, dat is opgezet door CISA en de FBI, is bedoeld om softwareontwikkelaars te informeren en te waarschuwen voor de mogelijkheden van SQL-injectieaanvallen en om technieken te bieden om deze aanvallen af te zwakken.
De "Secure by Design Alert" werd uitgebracht als reactie op Moveit Transfer fouten die duizenden gebruikers hebben getroffen. De ernst en het veelvuldig voorkomen van deze beveiligingsproblemen zijn benadrukt in een gids genaamd["Eliminating SQL Injection Vulnerabilities in Software](https://www.cisa.gov/sites/default/files/2024-03/SbD Alert - Eliminating SQL Injection Vulnerabilities in Software_508c.pdf)".
Al meer dan 20 jaar zijn SQL-injectiekwetsbaarheden grondig gedocumenteerd en er zijn beproefde manieren om ze te omzeilen. Desondanks zijn softwareontwikkelaars doorgegaan met het uitbrengen van producten met deze kwetsbaarheden, waardoor een groot aantal gebruikers gevaar loopt. SQL-injecties werden al in 2007 door de MITRE Corporation gecategoriseerd als belangrijke kwetsbaarheden, maar ze vormen nog steeds een veelvoorkomend beveiligingsprobleem.
Het CISA en FBI handboek beschrijven SQL kwetsbaarheden in detail en suggereren tegenmaatregelen, zoals het gebruik van "prepared statements", die MySQL in 2004 uitbracht. Deze verklaringen bieden een veiligere methode dan het opschonen van invoer, wat vaak minder efficiënt is en moeilijker op grote schaal in te zetten. Ze helpen SQL-code te scheiden van gebruikersgegevens.
De richtlijnen bevelen verder aan dat de leiding van softwarebedrijven verantwoordelijkheid neemt voor de beveiliging van klanten, mogelijk door formele codebeoordelingen, transparante rapportage van bekende beveiligingskwetsbaarheden, het creëren van CVE's en op beveiliging gerichte organisatorische reorganisaties.
De 'Secure by Design'-campagne promoot de integratie van beveiligingsmaatregelen in elke fase van de levenscyclus van softwareontwikkeling, met steun van CISA en wereldwijde partners. Naast het aanpakken van SQL-injectie biedt het een handleiding voor het voorkomen van phishing en benadrukt het de risico's van het gebruik van standaardwachtwoorden, allemaal met het doel om een veiligere online omgeving te bevorderen.