A empresa teve que mudar o nome perigoso dos sites, pois poderia provocar um ataque XSS

dangerous company name

O nome de alguma empresa revelou-se perigoso para sites que não conseguem processar HTML adequadamente e podem provocar um ataque XSS.

No passado, algumas organizações usaram linhas de código para se divertir, mas pelo menos um deles teve que mudar isso.

De acordo com o The Guardian, A UK Companies House forçou uma das empresas de consultoria a mudar seu nome depois que se soube que ele poderia ser usado para realizar ataques XSS em páginas vulneráveis, incluindo a própria Companies House.

Uma empresa foi registrada usando caracteres que poderiam representar um risco de segurança para um pequeno número de nossos clientes se publicados em sites externos desprotegidos. Tomámos medidas imediatas para mitigar este risco e implementámos medidas para prevenir uma ocorrência semelhante.Um porta-voz da Companies House disse.

Como acabou, apenas mencionando o nome da empresa, o site do regulador pode comprometer-se inadvertidamente. No geral, não foi uma situação conveniente para uma agência governamental que inicialmente aprovou o nome problemático.

É sobre o nome: Formatação HTML corretamente o que é perigoso para sites que não conseguem lidar adequadamente com a formatação HTML. Esses sites podem decidir que o campo do nome da empresa está vazio e executar o script do site XSS Hunter.

Este script é bastante inofensivo e simplesmente exibe um aviso, mas a Companies House achou que bastava obrigar a empresa a mudar de nome.

Agora é chamado de “AQUELA EMPRESA CUJO NOME USADO PARA CONTER HTML SCRIPT TAGS LTD”. Segundo os representantes da Câmara de Registro, eles tomaram medidas para evitar a ocorrência de situações semelhantes no futuro.

No entanto, este não é o primeiro precedente desse tipo.

Nomes semelhantes foram registrados no passado, como "; DROP TABELA “EMPRESAS”;– LTDA”, uma tentativa irônica de realizar um ataque conhecido como injeção de SQL, inspirado em um famoso webcomic XKCD, mas este foi o primeiro nome desse tipo a gerar uma resposta. A Companies House removeu retroativamente o nome original de seus feeds de dados, e toda a documentação referente ao seu apelido original agora diz simplesmente “Nome da empresa disponível mediante solicitação.escreve o Guardião.

É engraçado ver como um nome cômico com elementos de código pode causar uma avalanche de problemas. No entanto, esta situação é também um exemplo de quão frágil a segurança da Internet pode ser.

Se você pode causar estragos apenas com um nome chique, então os proprietários de sites terão muito trabalho a fazer antes de terem certeza de que estão seguros.

Deixe-me lembrar outro caso curioso na área de segurança da informação: Durante oito anos, o botnet Cereals existia apenas para um propósito: ele baixou anime.

Por Vladimir Krasnogolovy

Vladimir é um especialista técnico que adora dar conselhos e dicas qualificadas sobre os produtos GridinSoft. Ele está disponível 24 horas por dia, 7 dias por semana para ajudá-lo em qualquer dúvida relacionada à segurança na internet.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *