CISA督促業者在產品出貨前檢查SQL注入漏洞
· 2024-03-26

有鑑於去年駭客利用MOVEit Transfer網頁應用程式的SQL注入漏洞發動大規模攻擊,美國政府發布Secure by Design Alert,呼籲技術製造商在產品出貨前,應審查程式碼是否含有SQL注入漏洞

/CISA

CISA與FBI表示,儘管在過去20年來人們已廣泛理解SQLi漏洞,也有了有效的緩解措施,然而,軟體製造商依然繼續開發具備此一缺陷的產品,使得許多客戶面臨風險,就算自2007年開始,像SQLi這類的漏洞已被視為不可原諒的安全漏洞,但相關漏洞依舊普遍存在。例如SQLi類型漏洞CWE-89去年仍登上前25款最危險漏洞排行榜。

SQLi注入漏洞主要是因應用程式無法妥善驗證使用者所輸入的SQL查詢,使得駭客得以於輸入欄位注入惡意的SQL程式碼來操控查詢,在攸關SQLi的安全設計守則中,建議業者在開發軟體時,應該隔離SQL程式碼及使用者所輸入的資料,確保系統不把使用者的輸入視為SQL語法,例如強制使用參數化查詢。

CISA與FBI督促軟體製造商的高階主管針對其程式碼展開正式審查,以確定其對SQLi危害的敏感度,同時鼓勵它們的客戶詢問供應商是否曾進行該審查,此外,在發現漏洞時,應可確保其軟體開發商能立即從所有現在或未來的軟體產品中,緩解此類的安全漏洞。

热门文章
JILI 宣布与全球板球传奇 AB de Villiers(ABD)达成重磅战略合作
体育游戏
菲律宾博彩技术赛道迎来新变局,B2B 供应模式加速渗透
东南亚资讯
巴西拟将博彩税率提高至24% 税收将用于社保和医疗领域
游戏风向
准备好了将你的收益最大化吗?尝试ProPush.me Constructor!
广告营销
超级PAC筹资4800万美元:体育博彩势力加码
游戏风向
哈萨克斯坦计划对在线赌场促销活动进行处罚
游戏风向
英国确认各垂直行业的赌博税税率
游戏风向
BETFAIR 网络攻击80万用户资料泄露
游戏风向
印度最高法院受理公益诉讼,要求全国禁封“伪装”成社交游戏的赌博平台
游戏风向
亚洲游戏市场观察:15大市场热门游戏与用户趋势
线上游戏
PropellerAds 分享了新的 iGaming 案例研究:在 3 个月实现 97,674 次安装和 12,701 笔存款
广告营销
Zenith携手HUIDU,冠名赞助2026年世界杯嘉年华官方巡回活动
线上游戏
张侨伟参议员排除全面禁止,敦促菲律宾规范网络赌博
东南亚资讯
亚洲顶尖游戏供应商多寶游戏 DB GAMING,开创亚洲市场的唯一首选
广告营销
新泽西州7月博彩收入创6.06亿美元新高,颁布禁令
游戏风向
首页
游戏
合作
发现
我的