Firmenname enthielt gefährlichen Code

Written by on 11. November 2020

Eine britische Firma musste ihren Namen ändern, da die ursprüngliche Bezeichnung ein Sicherheitsrisiko darstellen hätte können.

Die Handelsregister-Behörde Companies musste einen ungewöhnlichen Schritt setzen: Sie zwang eine Beratungsfirma für Software dazu, ihren Namen zu ändern. Denn dieser bestand ursprünglich aus HTML-Code und hätte als Exploit gegen Webseiten genutzt werden können, sofern diese Webformulare nicht genügend gegen Cross-Site-Scripting-Angriffe (XSS) geschützt hat. Auch die Behörde war davon betroffen.

Wird der Firmenname nämlich in ein ungesichertes Textfeld eingegeben, könnte die Anwendung im Hintergrund diesen als HTML-Code auslegen und diesen als Befehl ausführen. Dies kann auch in Form eines Skripts hinter einer URL erfolgen, das laut Guardian allerdings nur zu einer harmlosen Warnung führte.

Schräger Humor

Der Inhaber der Software-Beratungsfirma gab an, den Firmennamen nicht böswillig gewählt zu haben, um die Webseite der Behörde anzugreifen – er fand ihn lustig und verspielt. Sein schräger Humor zeigt sich auch in der nun neuen Firmenbezeichnung „That Company whose Name used to contain HTML Script Tags LTD“.

Links:
Artikel von The Guardian


Current track

Title

Artist

Background