Als onderdeel van hun 'Secure by Design'-campagne hebben de FBI en CISA, het Amerikaanse cyberbeveiligingsagentschap, richtlijnen gepubliceerd voor ontwikkelaars om kwetsbaarheden in SQL-injectie aan te pakken.
Dit programma, dat is gestart door CISA en de FBI, is bedoeld om softwareontwikkelaars te informeren en te waarschuwen voor de mogelijkheden van SQL-injectieaanvallen en om mitigatietechnieken te bieden.
De "Secure by Design Alert" werd uitgebracht als reactie op fouten in Moveit Transfer die duizenden gebruikers troffen. De ernst en het veelvuldig voorkomen van deze beveiligingsproblemen zijn benadrukt in een handleiding genaamd "Eliminating SQL Injection Vulnerabilities in Software".
Al meer dan twintig jaar worden kwetsbaarheden bij SQL-injectie grondig gedocumenteerd en zijn er beproefde manieren om deze te vermijden. Softwareontwikkelaars zijn desondanks producten met deze kwetsbaarheden blijven uitbrengen, waardoor een groot aantal gebruikers in gevaar is gebracht. SQL-injecties werden al in 2007 door de MITRE Corporation als significante kwetsbaarheden aangemerkt, maar vormen nog steeds een veel voorkomend beveiligingsprobleem.
Het CISA- en FBI-handboek beschrijft de SQL-kwetsbaarheden in detail en stelt tegenmaatregelen voor, zoals het gebruik van 'voorbereide verklaringen', die MySQL in 2004 uitbracht. Deze verklaringen bieden een veiligere methode dan het opschonen van invoer, die vaak minder efficiënt en moeilijker breed inzetbaar is. Ze helpen bij het scheiden van SQL-code van gebruikersgegevens.
De richtlijnen bevelen verder aan dat de leiding van softwarebedrijven de verantwoordelijkheid voor de klantbeveiliging op zich neemt, mogelijk door middel van formele codebeoordelingen, transparante rapportage van bekende beveiligingskwetsbaarheden, het creëren van CVE en op beveiliging gerichte organisatorische reorganisaties.
De 'Secure by Design'-campagne bevordert de integratie van beveiligingsmaatregelen in elke fase van de levenscyclus van softwareontwikkeling, met steun van CISA en wereldwijde partners. Naast het behandelen van SQL-injectie biedt het ook een gids over phishing-preventie en wordt de nadruk gelegd op de risico's die gepaard gaan met het gebruik van standaardwachtwoorden, allemaal met als doel een veiligere onlineomgeving te bevorderen.
Code Labs Academy Cybersecurity Bootcamp: Leer cyberbeveiliging online met financiering