999 0 Kommentare Online-Tutorials verbreiten auch Sicherheitslücken

Berlin/Braunschweig/Saarbrücken (pte017/18.04.2017/12:30) - Online-Tutorials sind auch bei Programmierern beliebt - was leider auch Risiken mit sich bringt. Denn mit Google leicht zu findende Tipps enthalten erschreckend oft auch Sicherheitslücken, wie eine Studie deutscher Forscher zeigt. Wenn Tutorial-Nutzer solche Schwachstellen direkt mit in ihre Codes übernehmen, könnte das Hackern das Leben leicht machen. Denn in Web-Anwendungen automatisiert nach Tutorial-Lücken zu suchen, ist dem Team zufolge ein geringer Aufwand.

Viele Fehler in Tutorials

Das Team hat unter anderem mit sechs einfachen Anfragen in Google nach Programmier-Tutorials gesucht und jeweils für die ersten fünf Treffer die Sicherheit des Tutorial-Codes untersucht. Das erschreckende Ergebnis: Neun der insgesamt 30 so gefundenen, wohl beliebten oder zumindest gängig genutzten Tutorials enthielten unsicheren Code, der entweder SQL-Injection- oder Cross-Site-Scripting-Angriffe ermöglicht. Das an sich wäre noch kein Problem - wenn nicht Programmierer bisweilen Code samt Lücken aus Tutorials in echte Projekte übernehmen würden.

Das kommt einer weiteren Analyse zufolge selten, aber doch vor. Von über 64.000 untersuchten PHP-Web-Apps auf GitHub http://github.com enthielten 820 einen Code, mit starker Ähnlichkeit aus einem Tutorial stammt. 117 davon enthielten dabei auch entsprechende Sicherheitslücken - in einigen Fällen sogar ohne Änderung direkt aus dem Tutorial kopiert. Das ist zwar nur ein kleiner Teil, doch sind solche Fehler leicht automatisiert aufspürbar. "Angreifer mit Zugang zu einem normalen PC und einer DSL-Breitbandverbindung, können unsere Techniken nutzen, um effizient wiederkehrende Lücken in Web-Anwendungs-Code zu finden", warnen die Forscher.

Qualitätssicherung nötig

Die Studie hat sich speziell mit quelloffenen PHP-Projekten befasst. Es scheint aber durchaus denkbar, dass es ähnliche Probleme mit aus Tutorials kopierten Sicherheitsmängeln auch bei anderen Programmiersprachen gibt. Von den untersuchten Tipp-Seiten zeigen jedenfalls einige ein mangelndes Verständnis für sichere Programmiermethoden, warnen die Forscher. Die Ergebisse der Studie legen nahe, dass es "einen dringenden Bedarf für Code-Audits gängig konsumierter Tutorials gibt". Möglicherweise muss diese Prüfung so streng erfolgen wie bei tatsächlichem Produktiv-Code.

Zum Paper "Leveraging Flawed Tutorials for Seeding Large-Scale Web Vulnerability Discovery": https://arxiv.org/abs/1704.02786

Lesen Sie auch

Lange Talfahrt

Schmerzhafter "Reset" des Aktienmarkts steht bevor, warnt Börsenexperte

heute 19:02

Künstliche Intelligenz

Strategische Expansion: KI-Highflyer Nvidia verstärkt sich mit zwei Zukäufen

heute 18:27

Unterbewertete Titel

Hartmann: Diese Mode-Aktie könnte sich später noch richtig auszahlen

heute 17:17

Rücksetzer als Chance

Mit diesem Silberproduzenten auf die nächste Rallye setzen

heute 16:23

(Ende)

Aussender: pressetext.redaktion
Ansprechpartner: Thomas Pichler
Tel.: +43-1-81140-314
E-Mail: pichler@pressetext.com
Website: www.pressetext.com

[ Quelle: http://www.pressetext.com/news/20170418017 ]

Aktuelle Themen

Tagesausblick für 26.04.: DAX – Zinsen drücken. Bayer, Conti und Merck laden zur HV

heute 17:55

Litecoin fällt zurück auf 80 Dollar – Fed-Notenbanksitzung im Fokus

heute 14:02

Kostenexplosion befürchtet

Meta Platforms bricht nach Zahlen ein: Verrennt sich Mark Zuckerberg erneut?

heute 10:25

3 Kommentare

Vorsicht, was man sich wünscht

Hedgefonds warnt vor "dramatischem Markteinbruch", wenn die Fed die Zinsen senkt

23.04.24, 14:14

Pressetext (News)

0 Follower

Autor folgen

Tipp von pressetext.deutschland:

Holen Sie sich kostenlos die Topnews aus den Zukunftsbranchen Hightech, Business, Medien und Leben in realtime in Ihre Mailbox! Melden Sie sich unter Pressetext Abo kostenfrei an.