Новости

Британскую компанию заставили поменять название, потому что оно содержало опасный HTML-тег

Регистрационная палата Великобритании заставила местную софтверную компанию сменить название, из-за которой ресурсы палаты могли подвергнуться взлому, пишет The Guardian. Директор компании решил добавить в название элементы HTML-кода, потому что это показалось ему «забавным».

Компания, которая теперь официально называется THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD («Компания, в названии которой были HTML-теги»), была создана британским инженером-программистом, отмечает издание. Он посчитал, что название с элементами HTML-кода будет «забавным именем» для его консалтингового бизнеса.

Первоначально компания называлась ““><SCRIPT SRC=HTTPS://MJT.XSS.HT> LTD”. По словам ее создателя, он не осознавал, что такое название может создать угрозу безопасности. Но на самом деле оно связано с вероятностью межсайтового скриптинга (XSS).

Это тип атаки на веб-системы, который заключается во внедрении в выдаваемую веб-системой страницу вредоносного кода (который будет выполнен на компьютере пользователя при открытии им этой страницы) и взаимодействии этого кода с веб-сервером злоумышленника.

Так как в этом случае название компании начиналось с кавычки, любой сайт, который не смог должным образом обработать HTML-код, мог ошибочно решить, что название компании пустое, а затем загрузить и выполнить сценарий с помощью XSS Hunter, инструмента, который помогает разработчикам находить ошибки, связанные с межсайтовым скриптингом, отмечает The Guardian.

В лучшем случае это могло обернуться безобидным предупреждением, в худшем ― любой злоумышленник мог использовать эту уязвимость для более опасных целей. Таким образом, тот факт, что название этой компании значилось на сайте регистрационной палаты, угрожало ее безопасности.

Директор компании, попросивший The Guardian не называть его имени, сказал, что, регистрируя компанию, не думал, что в дальнейшем это вызовет проблемы. «Правительственная цифровая служба (GDS) имеет хорошую репутацию в области безопасности, в прошлом были зарегистрированы и другие компании с похожими шутливыми названиями, поэтому я не думал, что это станет проблемой», ― сказал он.

Он отметил, что символы вроде «<» и «“» разрешено использовать в названиях, поэтому он был уверен, что служба приняла необходимые меры безопасности для защиты от потенциальных атак. Тем не менее, когда создатель компании обнаружил «некоторые незначительные проблемы», по его словам, он сразу же связался с Регистрационной палатой и Национальным центром кибербезопасности.

Регистрационная палата Великобритании поменяла название и удалила исходное имя из своих каналов данных.

«Компания была зарегистрирована с использованием символов, которые могли представлять угрозу безопасности небольшого числа наших клиентов, если бы информация публиковалась на незащищенных внешних веб-сайтах. Мы незамедлительно предприняли шаги, чтобы снизить этот риск и предотвратить возможные атаки», ― рассказал представитель Регистрационной палаты.