Bị buộc đổi tên công ty “><SCRIPT SRC=HTTPS://MJT.XSS.HT> LTD” (2020)

 (theguardian.com)
2 điểm bởi GN⁺ 2024-10-26 | 1 bình luận | Chia sẻ qua WhatsApp

  • Buộc đổi tên công ty

    • Companies House đã buộc công ty đổi tên vì lý do rủi ro bảo mật
    • Tên ban đầu là “><SCRIPT SRC=HTTPS://MJT.XSS.HT>; LTD và đây là một cái tên dễ bị khai thác trong tấn công cross-site scripting (XSS)
    • Lỗ hổng bảo mật được chứng minh bằng cách tải script từ trang XSSHunter để hiển thị thông báo cảnh báo

  • Bối cảnh của việc đổi tên

    • Một kỹ sư phần mềm người Anh đã thành lập công ty với cái tên mang tính vui đùa và tinh nghịch
    • Companies House nhận thấy tên này có thể gây ra rủi ro bảo mật và yêu cầu đổi tên
    • Trước đây cũng từng có những tên tương tự được đăng ký, nhưng đây là trường hợp đầu tiên dẫn đến phản ứng xử lý

  • Biện pháp bảo mật

    • Companies House đã lập tức thực hiện hành động để giảm rủi ro bảo mật và chuẩn bị các biện pháp phòng ngừa nhằm ngăn các trường hợp tương tự tái diễn
    • Tên công ty hiện đã được đổi thành THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD

  • Quan điểm của giám đốc công ty

    • Giám đốc công ty cho rằng Government Digital Service (GDS) có uy tín tốt về bảo mật nên sẽ không có vấn đề gì
    • Ngay khi phát hiện vấn đề, ông đã lập tức liên hệ với Companies House và Trung tâm An ninh mạng Quốc gia

Tổng hợp của GN⁺

  • Bài viết này đề cập đến các rủi ro bảo mật có thể phát sinh khi tên công ty chứa mã HTML
  • Nó giúp nâng cao nhận thức về các lỗ hổng bảo mật như cross-site scripting (XSS)
  • Với các dự án khác trong ngành có chức năng tương tự, có thể khuyến nghị bộ hướng dẫn bảo mật của OWASP
  • Bài viết này nâng cao nhận thức về bảo mật và nhấn mạnh tầm quan trọng của việc cân nhắc yếu tố an toàn khi đăng ký tên công ty

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-10-26
Ý kiến trên Hacker News

  • Một người dùng chia sẻ trường hợp khai thác hệ điều hành Windows và phần mềm chống virus trên một terminal bãi đỗ xe. Họ mã hóa chuỗi thử nghiệm EICAR vào mã QR rồi đưa cho máy quét, khiến cửa sổ bật lên của phần mềm chống virus che kín màn hình terminal và làm nó không thể sử dụng được

  • Đây là một ví dụ trolling xuất sắc đến mức phải thay đổi luật, và luật đã được sửa để không thể đưa mã máy tính vào tên công ty

  • Có trường hợp vào năm 2014, một tài xế ở Ba Lan đã thêm SQL injection vào biển số xe để né camera bắn tốc độ

  • Một công ty đã dùng tên có chứa thẻ script HTML và cuối cùng bị buộc phải đổi tên theo pháp lý

  • Tên của nhà sáng lập là "ROBERT'); DROP TABLE STUDENTS;", gợi nhớ đến ví dụ Little Bobby Tables nổi tiếng

  • Có người chia sẻ trải nghiệm vào khoảng năm 2000 trên Coke Auction, khi dùng script để khiến người khác không thể đặt giá trong phiên đấu giá. Họ giành được khá nhiều món đồ, nhưng cuối cùng tài khoản bị xóa và nhận cảnh báo từ Coke UK

  • Có ý kiến chỉ ra vấn đề rằng trong RSS feed, không rõ phần tử tiêu đề là HTML hay văn bản thuần. Atom quy định rõ rằng phần tử tiêu đề phải được xử lý như văn bản thuần

  • Có đề cập rằng một công ty đã được đăng ký với các ký tự có thể gây rủi ro bảo mật, nhưng không ảnh hưởng đến chính Companies House, dù có khả năng bảo mật của một số khách hàng đã bị suy yếu

  • Trường hợp liên quan này đã được đề cập trong một bài viết năm 2020