Найти тему
Код Дурова

Британская компания с «опасным» HTML-тегом в названии была вынуждена его сменить

Регистрационная палата Великобритании вынудила компанию “><SCRIPT SRC=HTTPS://MJT.XSS.HT> LTD”  изменить название, так как оно подвергало риску взлома ресурсы самой палаты и ее клиентов. Теперь фирма называется THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD(«Компания, в названии которой были HTML-теги»).

Как пишет The Guardian, компанию со столь оригинальным названием зарегистрировал британский инженер-программист, который посчитал, что элементы HTML-кода будут смотреться «забавно» в имени его консалтингового бизнеса. При этом он не думал о потенциальных рисках безопасности, к которым может привести такое название, хотя оно связано с вероятностью межсайтового скриптинга (XSS):

Правительственная цифровая служба (GDS) имеет хорошую репутацию в области безопасности, в прошлом были зарегистрированы и другие компании с похожими шутливыми названиями, поэтому я не думал, что это станет проблемой, ― рассказал директор компании, пожелавший остаться анонимным.

The Guardian отмечает, что любой сайт, который не смог бы должным образом обработать HTML-код, мог ошибочно решить, что название компании пустое, а затем загрузить и выполнить сценарий с помощью XSS Hunter — инструмента, который разработчики используеют для поиска ошибок, связанных с межсайтовым скриптингом. Этим могли бы потенциально воспользоваться киберпреступники.