Là một phần của chiến dịch 'Bảo mật theo thiết kế', FBI và CISA, cơ quan an ninh mạng của Hoa Kỳ, đã công bố hướng dẫn dành cho các nhà phát triển để giải quyết các lỗ hổng chèn SQL.
Chương trình này do CISA và FBI khởi xướng nhằm thông báo và cảnh báo cho các nhà phát triển phần mềm về khả năng xảy ra các cuộc tấn công tiêm nhiễm SQL và cung cấp các kỹ thuật giảm nhẹ.
"Cảnh báo bảo mật theo thiết kế" được phát hành để phản hồi các lỗi Moveit Transfer đã ảnh hưởng đến hàng nghìn người dùng. Mức độ nghiêm trọng và sự xuất hiện thường xuyên của những vấn đề bảo mật này đã được nêu rõ trong hướng dẫn có tên "Loại bỏ lỗ hổng chèn SQL trong phần mềm".
Trong hơn 20 năm, các lỗ hổng SQL SQL đã được ghi lại kỹ lưỡng và có nhiều cách đã được thử nghiệm để tránh chúng. Các nhà phát triển phần mềm vẫn tiếp tục phát hành các sản phẩm có lỗ hổng này bất chấp điều này, gây nguy hiểm cho một số lượng lớn người dùng. Việc tiêm SQL đã được MITER Corporation phân loại là lỗ hổng nghiêm trọng ngay từ năm 2007, nhưng chúng vẫn là một vấn đề bảo mật thường xuyên.
Cẩm nang của CISA và FBI mô tả chi tiết các lỗ hổng SQL và đề xuất các biện pháp đối phó, chẳng hạn như sử dụng "các câu lệnh đã chuẩn bị sẵn" mà MySQL phát hành năm 2004. Các câu lệnh này cung cấp một phương pháp an toàn hơn so với việc khử trùng đầu vào, thường kém hiệu quả hơn và khó triển khai rộng rãi hơn. Chúng hỗ trợ tách mã SQL khỏi dữ liệu người dùng.
Các hướng dẫn này khuyến nghị thêm rằng lãnh đạo các công ty phần mềm nên nắm quyền sở hữu bảo mật khách hàng, có thể thông qua đánh giá mã chính thức, báo cáo minh bạch về các lỗ hổng bảo mật đã biết, tạo CVE và tổ chức lại tổ chức tập trung vào bảo mật.
Chiến dịch 'Bảo mật theo thiết kế' thúc đẩy việc tích hợp các biện pháp bảo mật ở mọi giai đoạn của vòng đời phát triển phần mềm, với sự hỗ trợ từ CISA và các đối tác toàn cầu. Ngoài việc giải quyết vấn đề chèn SQL, tài liệu này còn cung cấp hướng dẫn về cách ngăn chặn lừa đảo và nhấn mạnh các rủi ro liên quan đến việc sử dụng mật khẩu mặc định, tất cả đều nhằm mục đích thúc đẩy một môi trường trực tuyến an toàn hơn.