La empresa tuvo que cambiar el nombre peligroso de los sitios porque podría provocar un ataque XSS

dangerous company name

El nombre de la empresa resultó ser peligroso para los sitios que no pueden procesar correctamente HTML y podrían provocar un ataque XSS..

En el pasado, Algunas organizaciones han utilizado líneas de código por diversión., pero al menos uno de ellos tuvo que cambiarlo.

Según El Guardián, La Companies House del Reino Unido obligó a una de las empresas consultoras a cambiar su nombre después de que se supo que se puede utilizar para realizar ataques XSS en páginas vulnerables., incluida la propia Companies House.

Se registró una empresa utilizando caracteres que podrían haber presentado un riesgo de seguridad para un pequeño número de nuestros clientes si se hubieran publicado en sitios web externos no protegidos.. Hemos tomado medidas inmediatas para mitigar este riesgo y hemos implementado medidas para evitar que ocurra algo similar..Un portavoz de Companies House dijo.

Como se vio despues, con solo mencionar el nombre de la empresa, el sitio web del regulador podría comprometerse sin darse cuenta. En general, no fue una situación conveniente para una agencia gubernamental que inicialmente aprobó el nombre problemático..

se trata del nombre: Formatear HTML correctamente lo cual es peligroso para los sitios que no pueden manejar el formato HTML correctamente. Dichos sitios pueden decidir que el campo del nombre de la empresa está vacío y ejecutar el script desde el sitio XSS Hunter..

Este script es bastante inofensivo y simplemente muestra una advertencia., pero Companies House pensó que era suficiente para obligar a la empresa a cambiar su nombre.

Ahora se llama “ESA EMPRESA CUYO NOMBRE UTILIZA CONTENÍA HTML SCRIPT TAGS LTD". Según los representantes de la Cámara de Registro, han tomado medidas para evitar que se produzcan situaciones similares en el futuro.

Sin embargo, este no es el primer precedente de este tipo.

Nombres similares se han registrado en el pasado., como "; MESA DE GOTA “EMPRESAS”;– LIMITADO", un irónico intento de llevar a cabo un ataque conocido como inyección SQL, inspirado en un famoso webcomic XKCD, pero este fue el primer nombre de este tipo que generó una respuesta.. Companies House ha eliminado retroactivamente el nombre original de sus fuentes de datos, y toda la documentación que hace referencia a su apodo original ahora dice simplemente "Nombre de la empresa disponible a pedido.escribe el guardián.

Es curioso ver cómo un nombre de cómic con elementos de código puede provocar una avalancha de problemas.. Sin embargo, Esta situación es también un ejemplo de lo frágil que puede ser la seguridad en Internet..

Si puedes causar estragos con solo un nombre elegante, entonces los propietarios de los sitios tienen mucho trabajo por hacer antes de poder estar seguros de que están seguros.

Permítanme recordarles otro caso curioso en el campo de la seguridad de la información.: Por ocho años, La botnet Cereals existía con un solo propósito.: descargo anime.

Por Vladimir Krasnogolovy

Vladimir es un especialista técnico al que le encanta dar consejos y sugerencias cualificados sobre los productos de GridinSoft. Está disponible las 24 horas del día, los 7 días de la semana para ayudarte con cualquier pregunta relacionada con la seguridad en Internet.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *