Sicherheitslücken durch Online-Tutorials

© Bilderbox.com

Hackern wird die Arbeit leicht gemacht. Fehler in Web-Anwendungen können sie über Online-Tutorials leicht aufspüren

Online-Tutorials sind auch bei Programmierern beliebt - was leider auch Risiken mit sich bringt. Denn mit Google leicht zu findende Tipps enthalten erschreckend oft auch Sicherheitslücken, wie eine Studie deutscher Forscher zeigt. Wenn Tutorial-Nutzer solche Schwachstellen direkt mit in ihre Codes übernehmen, könnte das Hackern das Leben leicht machen.
Das Team hat unter anderem mit sechs einfachen Anfragen in Google nach Programmier-Tutorials gesucht und jeweils für die ersten fünf Treffer die Sicherheit des Tutorial-Codes untersucht. Das erschreckende Ergebnis: Neun der insgesamt 30 so gefundenen, wohl beliebten oder zumindest gängig genutzten Tutorials enthielten unsicheren Code, der entweder SQL-Injection- oder Cross-Site-Scripting-Angriffe ermöglicht.

Qualitätssicherung nötig
Diese Codes werden auch teilweise übernommen. Von über 64.000 untersuchten PHP-Web-Apps auf GitHub enthielten 820 einen Code mit starker Ähnlichkeit aus einem Tutorial. 117 davon enthielten dabei auch entsprechende Sicherheitslücken - in einigen Fällen sogar ohne Änderung direkt aus dem Tutorial kopiert. Das ist zwar nur ein kleiner Teil, doch sind solche Fehler leicht automatisiert aufspürbar. "Angreifer mit Zugang zu einem normalen PC und einer DSL-Breitbandverbindung, können effizient wiederkehrende Lücken in Web-Anwendungs-Code finden", warnen die Forscher.
Die Studie hat sich speziell mit quelloffenen PHP-Projekten befasst. Es scheint aber durchaus denkbar, dass es ähnliche Probleme mit aus Tutorials kopierten Sicherheitsmängeln auch bei anderen Programmiersprachen gibt. Von den untersuchten Tipp-Seiten zeigen jedenfalls einige ein mangelndes Verständnis für sichere Programmiermethoden, warnen die Forscher.