Amerikaanse CISA en FBI roepen op tot uitbannen van SQL-injecties
De Amerikaanse Cybersecurity & Infrastructure Security Agency (CISA) en de Federal Bureau of Investigation (FBI) willen dat ontwikkelaars meer doen tegen kwetsbaarheden in software die SQL-injecties mogelijk maken.
In een gezamenlijke Secure by Design Alert uitgebracht wijzen de CISA en FBI op de risico's van SQL-injecties, en roepen op tot het uitbannen van deze kwetsbaarheid. Aanleiding hiervoor is misbruik van SQL-injecties door de CL0P ransomwaregroepering, via een kwetsbaarheid in MOVEit van Progress Software (CVE-2023-34362).
'Nog altijd veelvoorkomend'
"Ondanks de wijdverbreide kennis en documentatie van SQLi-kwetsbaarheden in de afgelopen twintig jaar en de beschikbaarheid van effectieve oplossingen, blijven softwarefabrikanten producten met dit probleem ontwikkelen waardoor veel klanten gevaar lopen. Kwetsbaarheden zoals SQLi worden door anderen als ‘onvergeeflijk’ beschouwd kwetsbaarheid sinds minstens 2007. Ondanks deze bevinding zijn SQL-kwetsbaarheden (zoals CWE-89) nog steeds een veelvoorkomende klasse van kwetsbaarheden", schrijft de CISA op zijn website.
In de Secure by Design Alert delen de CISA en FBI aanbevolen principes en best practices voor het uitbannen van SQL-injecties.
Meer over Security
Over Wouter Hoeffnagel
