CISA 和 FBI 敦促开发人员“全力消除” SQL 注入漏洞

最新推荐文章于 2024-08-25 14:15:00 发布

卿卿草原

最新推荐文章于 2024-08-25 14:15:00 发布

阅读量243

点赞数 4

分类专栏： 2024年程序员学习文章标签：网络安全 web安全面试

本文链接：https://blog.csdn.net/m0_54903333/article/details/138942084

版权

2024年程序员学习专栏收录该内容

91 篇文章 0 订阅

订阅专栏

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

在这里插入图片描述

因篇幅有限，仅展示部分资料

需要体系化学习资料的朋友，可以加我V获取：vip204888 （备注网络安全）

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

1711506981_66038625c05c08b016d91.png!small

3月25日（本周一），网络安全与基础设施安全局（CISA）和联邦调查局（FBI）发布了 "安全设计 "警报。他们将 SQL 注入漏洞（SQLi）归入"不可饶恕的 "一类漏洞。

警报指出：尽管在过去二十年中，人们普遍了解并记录了 SQLi 漏洞，而且也有了有效的缓解措施，但软件制造商仍在继续开发存在这一缺陷的产品，这使许多客户面临风险。

在 SQL 注入攻击中，威胁行动者将恶意构造的 SQL 查询“注入”数据库查询中所使用的字段或参数中，利用应用程序中的漏洞来执行非计划SQL命令如提取、操作或删除存储在数据库中的敏感数据。因与目标数据库交互的 web 应用或软件中的输入验证和清理不当，这可导致机密数据越权访问、数据泄露甚至是目标系统遭完全接管，CISA 和 FBI 建议使用实现写好语句的参数化査询，阻止SQL注入漏洞。这种方法将SQL代码与用户数据加以区分，使得恶意输入不可能被解释为 SQL语句。与输入清理技术相比，参数化査询时设计安全方法的更好选择，因为前者可被绕过且难以大规模执行。 SQL注入漏洞在MITRE 于2021年和2022年发布的“前25个最危险的漏洞"中排行第三，仅次于越界写入漏洞和跨站脚本攻击。越界写入漏洞是一种软件漏洞，会导致程序在分配的内存区域边界之外写入。端点崩溃，或者执行任意代码等后果。威胁行为者通常通过写入比分配的内存区域的大小更大的数据或将数据写入内存区域内的错误位置来滥用此漏洞。

CISA 和 FBI 指出，"如果他们发现代码存在漏洞，高管们应当确保所在组织机构的软件开发人员立即开始执行缓解措施，从所有当前和未来软件产品中消除整个缺陷类型。在设计阶段直到开发、发布和更新阶段集成该缓解措施，可以缓解客户的网络安全负担以及公众所面临的风险。

几十年来，软件行业一直知道如何大规模消除 SQLi 缺陷。然而，威胁分子去年就利用了开发商 Progress 的 MOVEit 文件传输软件中的这样一个漏洞，造成了毁灭性的后果。去年5月， Clop 勒索团伙利用了 Progress MOVEit Transfer文件传输管理 app 中的一个 SQLi 零日漏洞，该漏洞影响全球数千家组织机构，随后 CISA 和 FBI 立即发布了联合告警。尽管此案的受害者众多，但Coveware认为仅有少部分受害者可能会支付赎金。即便如此，据估计该勒索团伙可能获得的赎金仍在750万到1亿美元之间。

据 CISA 称，SQLi 攻击之所以能够得逞，是因为开发人员没有将用户提供的内容视为潜在的恶意内容。它不仅会导致敏感数据被盗，还会使坏人篡改、删除数据库中的信息或使其不可用。

警报敦促技术制造商遵循三项指导原则：

通过执行正式的代码审查并使用“带有参数化查询的预制语句”作为标准做法，对客户安全结果负责
通过确保 CVE 记录的正确性和完整性、记录漏洞的根本原因并努力消除整个类别的漏洞，实现“彻底”的透明度和问责制
将业务目标重新调整为安全设计软件开发，包括进行正确的投资和建立激励结构。这最终有助于降低财务和生产力成本以及复杂性

CISA 和 FBI 督促技术制造企业管理层对所在组织机构的软件提起正式审计并执行缓解措施，在软件交付前消除SQL注入(SQLi) 漏洞。

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！

王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。

对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！

【完整版领取方式在文末！！】

93道网络安全面试题

需要体系化学习资料的朋友，可以加我V获取：vip204888 （备注网络安全）

内容实在太多，不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料，给那些想学习网络安全的小伙伴们一点帮助！

1️⃣零基础入门

① 学习路线

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供：

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

卿卿草原

关注

4
点赞
踩
4

收藏

觉得还不错? 一键收藏
0
评论
CISA 和 FBI 敦促开发人员“全力消除” SQL 注入漏洞

在 SQL 注入攻击中，威胁行动者将恶意构造的 SQL 查询“注入”数据库查询中所使用的字段或参数中，利用应用程序中的漏洞来执行非计划SQL命令如提取、操作或删除存储在数据库中的敏感数据。然而，威胁分子去年就利用了开发商 Progress 的 MOVEit 文件传输软件中的这样一个漏洞，造成了毁灭性的后果。警报指出：尽管在过去二十年中，人们普遍了解并记录了 SQLi 漏洞，而且也有了有效的缓解措施，但软件制造商仍在继续开发存在这一缺陷的产品，这使许多客户面临风险。，大家跟着这个大的方向学习准没问题。
复制链接

扫一扫

专栏目录