Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

News

Unterschätzte Gefahr: Wie sich Sicherheitslücken über Code-Snippets verbreiten

(Foto: Shutterstock)

Sicherheitsforscher sind der Frage nachgegangen, wie Code-Snippets zur Verbreitung von Sicherheitslücken beitragen. Wir verraten euch, was sie herausgefunden haben.

Unsichere Code-Snippets: Das Problem mit der Copy-and-Paste-Programmierung

Eigene Code-Schnipsel mit anderen Entwicklern zu teilen, kann vor allem Anfängern beim Erlernen einer Programmiersprache helfen. Außerdem kann es auch Zeit sparen, einen bestehenden Code aus dem Netz zu übernehmen. Das Problem dabei: Theoretisch können sich so auch Sicherheitslücken verbreiten. Jetzt haben Forscher der TU Berlin, der Universität des Saarlandes, der TU Braunschweig und des Software-Herstellers und Sicherheitsdienstleisters Trend Micro erstmals einen genaueren Blick auf das Problem geworfen.

Code-Snippets: Sicherheitslücken verbreiten sich von Tutorials in Github-Projekte. (Grafik: Tommi Unruh, Bhargava Shastry, Malte Skoruppa, Federico Maggi, Konrad Rieck, Jean-Pierre Seifert, Fabian Yamaguchi)

Die Wissenschaftler entwarfen dazu ein Analyse-Framework, mit dem sie mehr als 64.000 PHP-Codebasen auf Github untersucht haben. Darin fand das Team 117 Sicherheitslücken, die eine starke syntaktische Ähnlichkeit zu Code-Snippets aus bekannten Tutorials aufweisen. Damit haben sie den Beleg erbracht, dass sich Sicherheitslücken aus Tutorials tatsächlich verbreiten. Außerdem zeigt ihr Vorgehen auch, dass sich schlecht geschriebene Tutorials zur Suche nach Sicherheitslücken eignen. Soll heißen: Was den Forschern gelungen ist, könnte letztlich auch von Menschen mit weniger hehren Motiven umgesetzt werden.

Anzeige

Sicherheitslücken in Snippets: Brauchen wir Code-Audits für Tutorials?

In ihrem Paper „Leveraging Flawed Tutorials for Seeding Large-Scale Web Vulnerability Discovery“ legen die Autoren nahe, dass Code in Tutorials genauso gut geprüft werden sollte, wie Code für den Produktiveinsatz. Passiert das nicht, können sich Sicherheitslücken weit über das ursprüngliche Einsatzgebiet als reine Lernhilfe hinaus vervielfältigen und am Ende wirklich zu einer Gefahr werden. Wie das von den Wissenschaftlern eingesetzte Analyse-Framework funktioniert, könnt ihr in dem Paper „Efficient and Flexible Discovery of PHP Application Vulnerabilities“ nachlesen.

Ebenfalls interessant ist unser Artikel „Operation Rosehub: Wie 50 Google-Mitarbeiter 2.600 Open-Source-Projekte sicherer gemacht haben“.

Finde einen Job, den du liebst

Bitte beachte unsere Community-Richtlinien

Schreib den ersten Kommentar!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Hinweis

Du hast gerade auf einen Provisions-Link geklickt und wirst in Sekunden weitergeleitet.

Bei Bestellung auf der Zielseite erhalten wir eine kleine Provision – dir entstehen keine Mehrkosten.


Weiter zum Angebot