image

FBI roept softwareontwikkelaars op einde aan SQL Injection te maken

maandag 25 maart 2024, 14:59 door Redactie, 19 reacties

De FBI heeft softwareontwikkelaars opgeroepen om een einde aan SQL Injection te maken, een klasse van beveiligingslekken die al sinds 1998 bestaat, maar nog altijd voorkomt. "Ondanks wijdverbreide kennis en documentatie van SQL Injection-kwetsbaarheden, alsmede beschikbaarheid van effectieve oplossingen, blijven softwareontwikkelaars producten met deze kwetsbaarheid ontwikkelen, wat veel klanten risico laat lopen", aldus de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security (pdf).

Bij SQL Injection kan een aanvaller SQL-opdrachten op een systeem uitvoeren. Zie dit Security.NL achtergrondartikel voor meer details. In 2007 werd SQL Injection nog als een 'onvergeeflijke' kwetsbaarheid bestempeld. Zeventien jaar later is het probleem nog altijd op grote schaal aanwezig. De MITRE Corporation, de organisatie achter het Common Vulnerabilities and Exposures (CVE) systeem om kwetsbaarheden mee te identificeren, stelde vorig jaar nog dat SQL Injection in de Top 3 van meestvoorkomende beveiligingslekken staat.

Vandaag roepen de FBI en het CISA softwareleveranciers en fabrikanten op om hun code op de aanwezigheid van SQL Injection te controleren. Daarnaast moeten alle klanten hun leveranciers vragen of ze een dergelijke controle hebben uitgevoerd. Mocht uit deze controle blijken dat de code kwetsbaar is voor SQL Injection, moeten ontwikkelaars meteen beginnen met het implementeren van oplossingen, aldus de oproep van de Amerikaanse overheidsdiensten. "Het toepassen van security in producten vanaf het begin kan SQL Injection voorkomen."

Volgens de FBI en het CISA is SQL Injection nog steeds succesvol omdat softwareontwikkelaars gebruikersinvoer niet als mogelijk kwaadaardig beschouwen. Als oplossing wordt het gebruik van parameterized queries met prepared statements aangeraden, om zo SQL-code van gebruikersinvoer te scheiden. "Deze scheiding zorgt ervoor dat het systeem gebruikersinvoer als data behandelt en niet als uitvoerbare code, waardoor het risico wordt geëlimineerd dat malafide gebruikersinvoer als SQL-statement wordt gezien."

Daarbij zien de overheidsdiensten een belangrijke rol weggelegd voor bestuurders en topmanagers om kwetsbaarheden zoals SQL Injection te voorkomen. Zo moet er in de organisatie prioriteit worden gegeven aan proactieve maatregelen, zoals het toepassen van veilig programmeren, waaronder het gebruik van parametrized queries, en het afhankelijk zijn van reactieve maatregelen te verminderen. Daarnaast moet topmanagement ervoor zorgen dat hun organisatie audits uitvoert om kwetsbaarheden zoals SQL Injection te detecteren.

Reacties (19)
25-03-2024, 15:22 door Anoniem
Ik zou ook graag wereldvrede willen, Maar zolang er gehannest word en er nog steeds cowboys rondlopen is dit niets meer dan loze woorden.
25-03-2024, 15:22 door Anoniem
In de wereld van "Move fast and break things" is security vaak een ondergeschoven kindje. Ik zie daarom SQL injectie nog wel even blijven voortbestaan.
25-03-2024, 15:56 door Anoniem
Vroeger hadden mijn applicaties ondersteuning voor SQL-injection, maar daar ben ik onlangs mee opgehouden. Die techniek is ondertussen gewoon te ouderwets en achterhaald.
25-03-2024, 16:16 door Anoniem
En als je er niet omheen kan deploy dan een WAF, bvb. de meest effectieve is Naxsi.
Binnen google Cloud, AWS en Azure heb je de keuze een WAF erbij 'te klikken'.
25-03-2024, 16:24 door Anoniem
Door Anoniem: Ik zou ook graag wereldvrede willen, Maar zolang er gehannest word en er nog steeds cowboys rondlopen is dit niets meer dan loze woorden.

Al die snelle swontwikkelaars, waarom maken ze hun product niet gewoon goed?
Nee, men crosst liever in de de snelle leasebolide naar de volgende cursus voor een nieuwe CXXX lettercombinatie
achter de naam te plakken. Of wil sw architect worden en zo. Of wil hacker worden. Veel sexier dan patcher.

Software is niet meer zo innovatief als vroeger. Het is een rem op de vooruitgang.
Het boeit niemand, anders was er al lang een oplossing voor.
25-03-2024, 16:41 door Anoniem
Zolang drivers voor SQL engines een string toestaan zullen er SQL injecties zijn. Waarom schrijf je hen niet aan?
25-03-2024, 17:29 door Anoniem
Door Anoniem: Al die snelle swontwikkelaars, waarom maken ze hun product niet gewoon goed?
Om precies dezelfde reden dat jij swontwikkelaars schrijft in plaats van softwareontwikkelaars, is mijn eerste gedachte. Kennelijk sla ook jij dingen over als je ze even teveel gedoe vindt, en je hebt je commentaar "live" laten gaan zonder de bug eruit te verwijderen.

Ik schrijf dit niet om lullig te doen over hoe je schrijft, maar het illustreert heel aardig hoe makkelijk zoiets gaat. Software "gewoon goed" maken vergt dat je dit nooit doet, of het altijd weet te herstellen. Sta daar eens bij stil. Houd jij dat vol als er management in je nek staat te hijgen omdat ze het te langzaam vinden gaan en te duur vinden worden? Dat soort tijdsdruk is een regelrechte vijand van de zorgvuldigheid die je nodig hebt om kwaliteit te kunnen leveren.
25-03-2024, 18:24 door Anoniem
Wellicht zou een SQL injection als een zodanig grote nalatigheid van de softwareontwikkelaar moeten worden gezien dat alle schade ten gevolge hiervan op de softwareontwikkelaar kunnen worden verhaald.

Reken maar dat SQL injections dan ineens verleden tijd zijn.
25-03-2024, 22:22 door Anoniem
Door Anoniem: Wellicht zou een SQL injection als een zodanig grote nalatigheid van de softwareontwikkelaar moeten worden gezien dat alle schade ten gevolge hiervan op de softwareontwikkelaar kunnen worden verhaald.

Reken maar dat SQL injections dan ineens verleden tijd zijn.

Joepie - de eerste programmeur die met z'n huis en jaarinkomen garant staat voor een bugje hebben we hier in de comments !

En knul, wijs eens naar je github portfolio van leuke software , gpl, bsd ?
En nu sta jij keihard garant dat een bug die men 'grote nalatigheid' vindt erg genoeg is om je helemaal uit te kleden ?
25-03-2024, 22:41 door Anoniem
Door Anoniem: Wellicht zou een SQL injection als een zodanig grote nalatigheid van de softwareontwikkelaar

Effectiever is om de bestuurders van de organisaties die er gebruik van maken hoofdelijk voor aansprakelijk te stellen.
26-03-2024, 06:39 door Anoniem
Tja, iedereen die een beetje toetsenbordheld denkt te zijn begint een eigen zaak en gaat services verkopen. Als iedereen zo werkt en de rest van de wereld negeert gaat het vanzelf mis. Een stropdas en mooie verkooppraatjes zeggen weinig over het product. Zie de recente berichtgeving over fortinet,die beveiliging verkopen.
26-03-2024, 09:56 door Anoniem
Software ontwikkelaars roepen de FBI op om te stoppen met fouten in politie onderzoeken.

....

Fouten maken hoort bij het leven. Tijd / budget / mankracht om alles foutloos te doen is er niet. Niet bij de politie, niet bij de overheid, niet in een ziekenhuis, en ook niet bij software ontwikkelaars.
26-03-2024, 11:12 door Anoniem
Door Anoniem:
Door Anoniem: Al die snelle swontwikkelaars, waarom maken ze hun product niet gewoon goed?
Om precies dezelfde reden dat jij swontwikkelaars schrijft in plaats van softwareontwikkelaars, is mijn eerste gedachte. Kennelijk sla ook jij dingen over als je ze even teveel gedoe vindt, en je hebt je commentaar "live" laten gaan zonder de bug eruit te verwijderen.

Ik schrijf dit niet om lullig te doen over hoe je schrijft, maar het illustreert heel aardig hoe makkelijk zoiets gaat. Software "gewoon goed" maken vergt dat je dit nooit doet, of het altijd weet te herstellen. Sta daar eens bij stil. Houd jij dat vol als er management in je nek staat te hijgen omdat ze het te langzaam vinden gaan en te duur vinden worden? Dat soort tijdsdruk is een regelrechte vijand van de zorgvuldigheid die je nodig hebt om kwaliteit te kunnen leveren.

Spot on opmerking!
26-03-2024, 12:43 door Anoniem
Door Anoniem:
Door Anoniem: Wellicht zou een SQL injection als een zodanig grote nalatigheid van de softwareontwikkelaar

Effectiever is om de bestuurders van de organisaties die er gebruik van maken hoofdelijk voor aansprakelijk te stellen.

Effectiever is om de bestuurders van de organisaties die de software leveren er hoofdelijk voor aansprakelijk te stellen.

FTFY.
26-03-2024, 14:44 door Anoniem
Ik zat een keer bij een directeur die m.b.t. security iets aan zijn ontwikkelaar vroeg:"Durf je daar je hand voor in het vuur te steken?" "Jazeker", was het antwoord van de ontwikkelaar. Directeur:"Letterlijk?".... Toen bleek het antwoord helaas toch:"Nee...".
26-03-2024, 20:04 door Anoniem
Door Anoniem: Ik zat een keer bij een directeur die m.b.t. security iets aan zijn ontwikkelaar vroeg:"Durf je daar je hand voor in het vuur te steken?" "Jazeker", was het antwoord van de ontwikkelaar. Directeur:"Letterlijk?".... Toen bleek het antwoord helaas toch:"Nee...".

Wat is je punt? M'n hand kan niet tegen vuur, dus nee, die ga ik niet letterlijk in 't vuur steken, ookal weet ik 100% zeker dat SQL injections in onze code niet mogelijk zijn. Je hand letterlijk in 't vuur steken is iets wat alleen idioten doen; die vraag van de directeur was dus ook gewoon belachelijk.
27-03-2024, 11:07 door Anoniem
Door Anoniem:
Door Anoniem: Ik zat een keer bij een directeur die m.b.t. security iets aan zijn ontwikkelaar vroeg:"Durf je daar je hand voor in het vuur te steken?" "Jazeker", was het antwoord van de ontwikkelaar. Directeur:"Letterlijk?".... Toen bleek het antwoord helaas toch:"Nee...".

Wat is je punt? M'n hand kan niet tegen vuur, dus nee, die ga ik niet letterlijk in 't vuur steken, ookal weet ik 100% zeker dat SQL injections in onze code niet mogelijk zijn. Je hand letterlijk in 't vuur steken is iets wat alleen idioten doen; die vraag van de directeur was dus ook gewoon belachelijk.

Precies dat. Overigens hoef je je geen zorgen te maken als je 100% zeker bent, dan zal het vuur je hand namelijk niet deren... :-)
27-03-2024, 14:18 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Wellicht zou een SQL injection als een zodanig grote nalatigheid van de softwareontwikkelaar

Effectiever is om de bestuurders van de organisaties die er gebruik van maken hoofdelijk voor aansprakelijk te stellen.

Effectiever is om de bestuurders van de organisaties die de software leveren er hoofdelijk voor aansprakelijk te stellen.

FTFY.

werknemer = werknemer.

Effectiever om de developers met hun jaarinkomen garant te laten staan dat ze geen bugs maken.
27-03-2024, 14:19 door Anoniem
Door Anoniem:
Door Anoniem: Ik zat een keer bij een directeur die m.b.t. security iets aan zijn ontwikkelaar vroeg:"Durf je daar je hand voor in het vuur te steken?" "Jazeker", was het antwoord van de ontwikkelaar. Directeur:"Letterlijk?".... Toen bleek het antwoord helaas toch:"Nee...".

Wat is je punt? M'n hand kan niet tegen vuur, dus nee, die ga ik niet letterlijk in 't vuur steken, ookal weet ik 100% zeker dat SQL injections in onze code niet mogelijk zijn. Je hand letterlijk in 't vuur steken is iets wat alleen idioten doen; die vraag van de directeur was dus ook gewoon belachelijk.

En als ie gevraagd had om je jaarsalaris erop in te zetten ?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.