作为“设计安全”活动的一部分,FBI 和美国网络安全机构 CISA 发布了开发人员解决 SQL 注入漏洞的指南。
该计划由 CISA 和 FBI 发起,旨在通知和警告软件开发人员 SQL 注入攻击的可能性,并提供缓解技术。
发布“安全设计警报”是为了响应影响数千名用户的 Moveit Transfer 缺陷。这些安全问题的严重性和频繁发生在名为“[消除软件中的 SQL 注入漏洞](https://www.cisa.gov/sites/default/files/2024-03/SbD%20Alert% 20-%20消除%20SQL%20注入%20漏洞%20in%20Software_508c.pdf)”。
20 多年来,SQL 注入漏洞已被彻底记录,并且有经过测试的方法可以避免它们。尽管如此,软件开发商仍不断发布存在这些漏洞的产品,危及大量用户。 SQL 注入早在 2007 年就被 MITRE 公司列为重大漏洞,但它们仍然是一个常见的安全问题。
CISA 和 FBI 手册详细描述了 SQL 漏洞并提出了对策,例如使用 MySQL 于 2004 年发布的“准备好的语句”。这些语句提供了比输入清理更安全的方法,而输入清理通常效率较低且更难以广泛部署。它们有助于将 SQL 代码与用户数据分离。
该指南进一步建议软件公司的领导层负责客户安全,可能通过正式的代码审查、已知安全漏洞的透明报告、CVE 创建以及以安全为重点的组织重组来实现。
在 CISA 和全球合作伙伴的支持下,“设计安全”活动促进了软件开发生命周期每个阶段的安全措施的集成。除了解决 SQL 注入问题之外,它还提供了网络钓鱼预防指南,并强调了与使用默认密码相关的风险,所有这些都是为了促进更安全的在线环境。