【公益译文】设计安全警报：消灭软件中的SQL注入漏洞

文章预览

全文共 2308 字，阅读大约需 4 分钟。 一 恶意网络攻击者利用SQL注入漏洞破坏系统 SQL注入（即SQLi）漏洞是存在于商业软件产品中的持久型漏洞。在过去的二十年里，人们对SQLi漏洞有着广泛的了解和记录，也存在有效的缓解措施，但软件厂商仍不断开发可能出现该漏洞的产品，使许多客户面临风险。 几十年来，软件行业已掌握大量解决SQLi漏洞的方法。2004年，MySQL引入了预编译语句，清除SQL注入漏洞。 美国网络安全与基础设施安全局（CISA）和联邦调查局（FBI）发布了《设计安全警报》，应对最新发生的恶意威胁活动，攻击者利用托管文件传播应用程序中的SQLi漏洞，危害应用程序用户，影响了数千个组织。CISA和FBI敦促技术厂商的领导检查其代码是否存在SQLi漏洞，鼓励所有技术客户询问厂商是否进行了审查。如果发现自己的代码存在漏洞，厂商领导 ………………………………