使用HTML代码作为公司名称,登记局

英国公司注册处CompaniesHouse的发言人表示,公司名称中含有HTML代码中所使用的字符可能会带来安全风险。后来意识到可能会带来安全隐患后,已迫使这家公司更改名称。这家公司由一名英国软件工程师创建,最初的名称是““SCRIPTSRC=HTTPS://MJT.XSS.HTLTD”。更改后的名称是“THATCOMPANYWHOSENAMEUSEDTOCONTAINHTMLSCRIPTTAGSLTD”,翻译过来就是“名称中过去含有HTML脚本标记的那家公司”。该工程师表示,他之所以取“SCRIPTSRC=HTTPS://MJT.XSS.HTLTD这个名称,纯粹是由于自己觉得这对他公司的咨询业务而言是个“有趣又好玩的名称”。他现在表示,他起初没有意识到CompaniesHouse实际上很容易受到他使用的名为“跨站点脚本”这种极其简单的技术的攻击,跨站点脚本让攻击者可以在一个网站上运行来自另一个网站的代码。如果名称以引号和V形图案开头,任何无法正确处理HTML代码的网站都会误以为这个公司名称是空的,然后从XSSHunter网站加载并执行脚本,该网站可帮助开发人员找到跨站脚本错误。该脚本原来只是会发出无害的警报,但它相当于证明了恶意攻击者可以改而利用同样的漏洞作为入口点,以达到更具破坏性的目的。过去已经注册过类似的名称,比如“;DROPTABLE“COMPANIES”;--LTD”,这是企图执行一种名为SQL注入攻击的攻击(灵感源自著名的XKCD网络漫画),但这是第一个引起反响的此类名称。CompaniesHouse已追根溯源,从其数据库中删除了这个原始名称,所有引用该原始名称的文档现在都简单地标为“可根据要求提供的公司名称”。预览时标签不可点收录于合集#个上一篇下一篇

转载请注明:http://www.aierlanlan.com/grrz/489.html