HTML: Firmenname wegen Sicherheitslücke untersagt

Eine britische Firma musste ihren Namen ändern, weil er Code in Webseiten injizieren konnte.

Artikel veröffentlicht am ,
Quellcode einer Webseite
Quellcode einer Webseite (Bild: Pexels/Pixabay)

Die britische Behörde Companies House, die für das dortige Handelsregister zuständig ist, hat eine Firma gezwungen, ihren Namen zu ändern, da dieser ein Sicherheitsrisiko darstellen kann. Der Firmenname bestand aus HTML-Code, der wie ein klassischer Cross-Site-Scripting-Angriff (XSS) aufgebaut war und das Ausführen von Javascript-Code im Kontext einer Webseite ermöglichen konnte - darunter die Webseite der britischen Behörde.

Stellenmarkt
  1. IT Security Administrator / Architekt (m/w/d)
    MULTIVAC Sepp Haggenmüller SE & Co. KG, Wolfertschwenden
  2. Data Architect & Engineer (m/w/d) für den Bereich Kranken Analytics
    Allianz Private Krankenversicherungs-AG, München Unterföhring
Detailsuche

Er habe den Firmennamen nicht etwa gewählt, um die Webseite des Companies House anzugreifen, vielmehr hielt er ihn für "einen lustigen, verspielten Namen" für sein Beratungsunternehmen, erklärte der Firmengründer der britischen Zeitung Guardian. Das kann man sich bei dem ursprünglichen Firmennamen aber fast nicht vorstellen (Name zum Schutz mit Klammern):

"><[SCRIPT] SRC[=]HTTPS://MJT.XSS.HT> LTD

Golem Akademie
  1. C++ 20: Concepts - Ranges - Coroutinen - Module
    4.-8. Oktober 2021, online
  2. PostgreSQL Fundamentals
    14.-17. September 2021, online
Weitere IT-Trainings

Wird der HTML-Code, nichts anderes ist der Firmenname, nicht ordentlich validiert und in einem HTML-Element in einer Webseite ausgegeben, wird ein Skript von der URL im Firmennamen im Kontext der Webseite ausgeführt. Das hinterlegte Skript habe nur eine harmlose Warnung ausgegeben, schreibt der Guardian. Allerdings hätte es auch zu einem späteren Zeitpunkt für Angriffe genutzt werden können.

Nun wurde die Firma in "That Company whose Name used to contain HTML Script Tags LTD" (zu Deutsch: die Firma, deren Name früher HTML-Script-Tags enthielt LTD) umbenannt. Es ist nicht das erste Mal, dass ein Firmenname Code enthält, so sollte der Firmenname "; DROP TABLE "COMPANIES";-- LTD" mittels eines SQL-Befehls Inhalte der Datenbank löschen. Allerdings wurden die Firmen laut dem Guardian nicht zu einer Namensänderung gezwungen. Auf der Webseite der Behörde Companies House werde statt des Namens schlicht "Name der Firma auf Anfrage erhältlich" ausgegeben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
CDU-Wahlprogramm
Digitalministerium für Gesichtserkennung und Hackbacks

Die CDU will nach 16 Jahren an der Regierung wenig ändern. Das gilt leider auch für umstrittene Themen wie Staatstrojaner und Vorratsdatenspeicherung.
Ein Bericht von Friedhelm Greis

CDU-Wahlprogramm: Digitalministerium für Gesichtserkennung und Hackbacks
Artikel
  1. Börse: Gamestop nimmt 1,1 Milliarden US-Dollar mit neuen Aktien ein
    Börse
    Gamestop nimmt 1,1 Milliarden US-Dollar mit neuen Aktien ein

    Wie geplant hat der Videospielehändler Gamestop die Ausgabe neuer Aktien erfolgreich abgeschlossen und profitiert so vom eigenen Hype.

  2. In eigener Sache: Wie geht es IT-Fachleuten nach über einem Jahr Corona?
    In eigener Sache
    Wie geht es IT-Fachleuten nach über einem Jahr Corona?

    Selten hat ein Ereignis die Arbeit so verändert wie Corona. Golem.de möchte von dir wissen, was das für dich bedeutet. Bitte nimm an der Umfrage teil - es dauert nicht lange!

  3. Verbrennerausstieg ab 2025: Jaguar mit radikalem Kurswechsel zu Elektroautos
    Verbrennerausstieg ab 2025
    Jaguar mit radikalem Kurswechsel zu Elektroautos

    Jaguar wagt einen Neuanfang und will nach und nach alle Autos mit Verbrennermotor aussortieren. Zudem wird eine neue Designsprache eingeführt.

Tubes 16. Nov 2020

Die bessere Frage lautet, seit wann nicht mehr?

MountWalker 12. Nov 2020

Doch, genau das und wäre das nicht so, würdest du heute Protoindoeuropäisch* reden und...

mtr (golem.de) 10. Nov 2020

Hallo, Danke für den Hinweis. Ich hatte das extra über HTML-Entities eingebaut, damit...

TurbinenBewunderer 10. Nov 2020

Schon lustig. Die trauen wohl den eigenen Entwicklern nicht.

smonkey 10. Nov 2020

Tatsächlich. Dann ist es zumindest common case.


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • MSI Optix MAG272CQR Curved WQHD 165Hz 309€ • be quiet Dark Base 700 Tower 124,90€ • HTC Vive Cosmos inkl. 2 Controller 599,90€ • Game of Thrones TV Box Set 4K 149,97€ • 6 Blu-rays für 30€ • Landwirtschafts-Simulator 22 39,99€ • Dualsense Black + R&C Rift Apart 99,99€ [Werbung]
    •  /