Название “><SCRIPT SRC=HTTPS://MJT.XSS.HT> LTD” оказалось опасным для сайтов, не способных должным образом обрабатывать HTML.
В прошлом некоторые организации ради шутки в качестве названия использовали строки кода, но как минимум одной из них пришлось его поменять. Как сообщает The Guardian, Регистрационная палата Великобритании вынудила одну из консалтинговых компаний изменить свое название после того, как стало известно, что с его помощью можно осуществлять XSS-атаки на уязвимые страницы, в том числе самой Регистрационной палаты. Как оказалось, лишь упомянув название компании, сайт регулятора мог неумышленно сам себя скомпрометировать. Не очень удобная ситуация для госоргана, изначально одобрившего проблемное название.
Речь идет о названии “><SCRIPT SRC= HTTPS://MJT.XSS.HT> ; LTD”, опасном для сайтов, не способных обрабатывать HTML-форматирование должным образом. Такие сайты могут решить, что поле с названием компании пустое, и запустить скрипт с сайта XSS Hunter. Данный скрипт вполне безобиден и просто отображает предупреждение, но Регистрационной палате этого показалось вполне достаточно для того, чтобы обязать компанию сменить название. Теперь она называется “THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD” (“ТА САМАЯ КОМПАНИЯ, НАЗВАНИЕ КОТОРОЙ РАНЬШЕ СОДЕРЖАЛО СКРИПТОВЫЕ ТЕГИ HTML LTD”). По словам представителей Регистрационной палаты, ими были предприняты меры по предотвращению возникновения подобных ситуаций в будущем.
Забавно наблюдать, как шуточное название с элементами кода способно вызвать целую лавину проблем. Тем не менее, данная ситуация также является примером того, какой хрупкой может быть безопасность в Сети. Если вызвать хаос можно с помощью всего лишь необычного названия, то владельцам сайтов предстоит огромная работа, прежде чем они смогут быть уверенными в своей безопасности.
Собираем и анализируем опыт профессионалов ИБ