导读 美国网络安全和基础设施安全局(CISA)和联邦调查局(FBI)在最新报告中指出,尽管SQL注入(SQLi)漏洞已被充分记录,并被认为是一种不可原谅的事...
美国网络安全和基础设施安全局(CISA)和联邦调查局(FBI)在最新报告中指出,尽管SQL注入(SQLi)漏洞已被充分记录,并被认为是一种“不可原谅”的事故,但它仍然是“商业软件产品中持续存在的缺陷”。
在文件中,美国两家政府机构敦促商业软件开发商“对其代码进行正式审查”,以确定其是否容易受到SQLi攻击。
两家公司表示:“如果发现他们的代码存在漏洞,高级管理人员应确保其组织的软件开发人员立即开始实施缓解措施,以从所有当前和未来的软件产品中消除这类缺陷。”
SQL注入是一种攻击,黑客可以将恶意查询“注入”到SQL命令中,从而执行任意查询。因此,威胁者可以访问敏感数据,甚至接管易受攻击的系统。
两家组织解释称,此类漏洞源于“数据库查询和用户提供的数据混杂在一起”。为了缓解威胁,组织应使用带有预处理语句的参数化查询,因为这种方法将SQL代码与用户数据分开。
BleepingComputer在其报告中报道称,根据MITRE的数据,SQLi漏洞是2021年至2022年间第三大最危险的软件漏洞。
“从一开始就纳入这种缓解措施——从设计阶段开始,并贯穿开发、发布和更新——可以减轻客户的网络安全负担和公众风险。”
CISA和FBI表示,他们发布了SecurebyDesignAlert,“以应对近期广为人知的恶意威胁行为者活动,该活动利用托管文件传输应用程序中的SQLi缺陷来瞄准和危害该应用程序的用户,影响了数千个组织”,指的是去年从MOVEit中的漏洞开始的Cl0p活动。