W ramach kampanii „Secure by Design” FBI i CISA, amerykańska agencja ds. cyberbezpieczeństwa, opublikowały wytyczne dla programistów dotyczące eliminowania luk w zabezpieczeniach polegających na wstrzykiwaniu kodu SQL.
Program ten, rozpoczęty przez CISA i FBI, ma na celu informowanie i ostrzeganie twórców oprogramowania o potencjale ataków polegających na wstrzykiwaniu kodu SQL oraz zapewnianie technik łagodzenia skutków.
„Alert Secure by Design” został wydany w odpowiedzi na błędy Moveit Transfer, które dotknęły tysiące użytkowników. Powagę i częste występowanie tych problemów bezpieczeństwa podkreślono w przewodniku zatytułowanym „Eliminowanie luk w zakresie wstrzykiwania SQL w oprogramowaniu”.
Od ponad 20 lat luki w zabezpieczeniach związane z iniekcją SQL są dokładnie dokumentowane i istnieją przetestowane sposoby ich uniknięcia. Mimo to twórcy oprogramowania w dalszym ciągu udostępniają produkty zawierające te luki, zagrażając dużej liczbie użytkowników. Już w 2007 roku korporacja MITER zaklasyfikowała zastrzyki SQL jako istotne luki w zabezpieczeniach, lecz nadal stanowią one częsty problem bezpieczeństwa.
Podręcznik CISA i FBI szczegółowo opisuje luki w zabezpieczeniach SQL i sugeruje środki zaradcze, takie jak użycie „gotowych instrukcji” opublikowanych przez MySQL w 2004 roku. Instrukcje te zapewniają bezpieczniejszą metodę niż oczyszczanie danych wejściowych, które jest często mniej wydajne i trudniejsze do powszechnego wdrożenia. Pomagają w oddzieleniu kodu SQL od danych użytkownika.
Wytyczne zalecają ponadto, aby kierownictwo producentów oprogramowania przejęło odpowiedzialność za bezpieczeństwo klientów, możliwie poprzez formalne przeglądy kodu, przejrzyste raportowanie znanych luk w zabezpieczeniach, tworzenie CVE i reorganizacje organizacyjne skupiające się na bezpieczeństwie.
Kampania „Secure by Design” promuje integrację środków bezpieczeństwa na każdym etapie cyklu życia oprogramowania, przy wsparciu CISA i partnerów globalnych. Oprócz omówienia wstrzykiwania SQL zawiera przewodnik dotyczący zapobiegania phishingowi i podkreśla ryzyko związane z używaniem domyślnych haseł, a wszystko to ma na celu promowanie bezpieczniejszego środowiska online.
Code Labs Academy Cybersecurity Bootcamp: Ucz się cyberbezpieczeństwa online dzięki funduszom