SQL enjeksiyon güvenlik açıkları tedarik zincirlerini rahatsız etmeye devam ediyor ve Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ile Federal Soruşturma Bürosu’nun (FBI) daha güvenli yazılım ürünleri geliştirme konusunda ortak bir uyarı yapmasına yol açıyor.
CISA ve FBI bu hafta yeni Tasarım Yoluyla Güvenli kılavuzunun, son zamanlarda yaygın bir şekilde istismar edilmesine doğrudan yanıt olduğunu söyledi. SQLi hatası içinde MoveIT dosya aktarım uygulaması.
SQL enjeksiyon güvenlik açıkları, tehdit aktörlerinin kendi verilerini SQL komutlarına enjekte etmelerine olanak tanıyarak, veritabanı içindeki hassas bilgilere erişmek için rastgele sorgular gerçekleştirmelerine olanak tanır.
“Son yirmi yılda SQLi açıklarına ilişkin yaygın bilgi ve belgelendirmeye ve etkili hafifletme yöntemlerinin bulunmasına rağmen, yazılım üreticileri bu kusura sahip ürünler geliştirmeye devam ediyor ve bu da birçok müşteriyi riske atıyor.” Bağlantı Noktası Tasarım Uyarısı ile Güvenli söz konusu. “SQLi gibi güvenlik açıkları, en az 2007’den bu yana başkaları tarafından ‘affedilemez’ bir güvenlik açığı olarak değerlendiriliyor. Bu bulguya rağmen, SQL güvenlik açıkları (CWE-89 gibi) hala yaygın bir güvenlik açığı sınıfıdır.”