Erzwungene Umbenennung von „"><SCRIPT SRC=HTTPS://MJT.XSS.HT> LTD“ (2020)

 (theguardian.com)
2 Punkte von GN⁺ 2024-10-26 | 1 Kommentare | Auf WhatsApp teilen

  • Erzwungene Änderung des Firmennamens

    • Companies House erzwang aus Sicherheitsgründen eine Änderung des Firmennamens
    • Der ursprüngliche Name war "\"><SCRIPT SRC=HTTPS://MJT.XSS.HT>; LTD" und war ein Name, der für Cross-Site-Scripting-(XSS)-Angriffe anfällig war
    • Die Sicherheitslücke wurde nachgewiesen, indem ein Skript von der XSSHunter-Website geladen und eine Warnmeldung angezeigt wurde

  • Hintergrund der Umbenennung

    • Ein britischer Softwareingenieur gründete das Unternehmen mit einem humorvollen und verspielten Namen
    • Companies House erkannte, dass der Name ein Sicherheitsrisiko darstellen könnte, und verlangte eine Umbenennung
    • Ähnliche Namen waren bereits zuvor registriert worden, doch dieser Fall löste erstmals eine Reaktion aus

  • Sicherheitsmaßnahmen

    • Companies House ergriff sofortige Maßnahmen, um das Sicherheitsrisiko zu verringern, und führte Präventionsmaßnahmen ein, damit ähnliche Fälle nicht erneut auftreten
    • Der Firmenname wurde inzwischen in THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD geändert

  • Position des Unternehmensdirektors

    • Der Unternehmensdirektor ging davon aus, dass der Government Digital Service (GDS) beim Thema Sicherheit einen guten Ruf habe und daher keine Probleme auftreten würden
    • Sobald das Problem entdeckt wurde, kontaktierte er umgehend Companies House und das National Cyber Security Centre

Zusammenfassung von GN⁺

  • Dieser Artikel behandelt die Sicherheitsrisiken, die entstehen können, wenn ein Firmenname HTML-Code enthält
  • Er schärft das Bewusstsein für Sicherheitslücken wie Cross-Site Scripting (XSS)
  • Als ähnliches Projekt mit vergleichbarer Funktionalität innerhalb der Branche lassen sich die Sicherheitsrichtlinien von OWASP empfehlen
  • Der Artikel erhöht das Bewusstsein für Sicherheit und betont, wie wichtig Sicherheitsaspekte bei der Registrierung von Firmennamen sind

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-10-26
Hacker-News-Kommentare

  • Ein Nutzer schilderte einen Fall, in dem an einem Parkterminal das Windows-Betriebssystem und die Antivirensoftware ausgenutzt wurden. Er kodierte die EICAR-Testzeichenfolge in einen QR-Code und hielt ihn vor den Scanner, woraufhin ein Antivirus-Popup den Terminalbildschirm überlagerte und das Gerät unbenutzbar machte

  • Ein großartiger Fall von Trolling, der eine Gesetzesänderung erforderlich machte: Das Gesetz wurde so geändert, dass Firmennamen keinen Computercode mehr enthalten dürfen

  • 2014 gab es in Polen einen Fall, bei dem ein Fahrer seiner Autonummer eine SQL-Injection hinzufügte, um Geschwindigkeitskameras zu umgehen

  • Ein Unternehmen verwendete einen Namen mit einem HTML-script-Tag und musste den Namen schließlich rechtlich ändern

  • Der Name des Gründers lautete "ROBERT'); DROP TABLE STUDENTS;", was an den berühmten Fall Little Bobby Tables erinnert

  • Jemand teilte eine Erfahrung aus der Zeit um 2000 bei Coke Auction, wo mithilfe eines Skripts verhindert wurde, dass andere in Auktionen bieten konnten. Er gewann viele Artikel, aber sein Konto wurde schließlich gelöscht und er erhielt eine Warnung von Coke UK

  • Es wurde darauf hingewiesen, dass bei RSS-Feeds unklar ist, ob das Titelelement HTML oder Klartext ist. Atom legt ausdrücklich fest, dass das Titelelement eindeutig als Klartext behandelt wird

  • Es wurde erwähnt, dass ein Unternehmen mit Zeichen registriert wurde, die ein Sicherheitsrisiko darstellen konnten, dies jedoch keine Auswirkungen auf Companies House selbst hatte, während die Sicherheit einiger Kunden möglicherweise verwundbar war

  • Ein Artikel aus dem Jahr 2020 behandelte entsprechende verwandte Fälle