La CISA invite les développeurs de logiciels à éliminer les failles d’injection SQL

La CISA et le FBI ont exhorté les dirigeants des entreprises de fabrication de technologies à procéder à des examens formels des logiciels de leur organisation et à mettre en œuvre des mesures d’atténuation afin d’éliminer les vulnérabilités en matière de sécurité par injection SQL avant la livraison.

Dans les attaques par injection SQL, les attaquants modernes « injectent » des requêtes SQL malveillantes dans les champs d’entrée ou les paramètres utilisés dans les requêtes de base de données, exploitant ainsi les vulnérabilités de la sécurité de l’application pour exécuter des commandes SQL involontaires, telles que l’exfiltration, la manipulation ou la suppression de données sensibles stockées dans la base de données.

CISA et le FBI conseillent d’utiliser des requêtes paramétrées avec des instructions préparées pour éviter les vulnérabilités liées aux injections SQL.

Les vulnérabilités SQLi ont pris la troisième place dans le top 25 des faiblesses les plus dangereuses pour les logiciels entre 2021 et 2022, seulement dépassées par les écritures hors limites et les scripts intersites.

« S’ils découvrent que leur code présente des vulnérabilités, les cadres supérieurs doivent s’assurer que les développeurs de logiciels de leur organisation commencent immédiatement à mettre en œuvre des mesures d’atténuation afin d’éliminer cette catégorie entière de défauts de tous les produits logiciels actuels et futurs », ont déclaré la CISA et le FBI à l’adresse suivante : [PDF].

Les vulnérabilités telles que SQLi sont considérées par d’autres comme des vulnérabilités « impardonnables » depuis au moins 2007. Malgré cette découverte, les vulnérabilités SQL restent une catégorie de vulnérabilités très répandue ».

Partager cet article sur les médias sociaux :

Abonnez-vous à Notre Infolettre !

Restez au fait des risques de cybersécurité, de l’évolution des menaces et de l’actualité du secteur.

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Dernières Nouvelles

Services en Vedette

Actualités Concernant la Cybersécurité

Qu’il s’agisse de cyberattaques majeures, de vulnérabilités critiques récemment découvertes ou de bonnes pratiques recommandées, lisez d’abord ici :

BOOK A MEETING

Enter your Email Address

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* No free email provider (e.g: gmail.com, hotmail.com, etc.)

PLANIFIER UNE RENCONTRE

Saisissez Votre Adresse Courriel

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* Pas de fournisseur de courrier électronique gratuit (par exemple : gmail.com, hotmail.com, etc.)

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.