Abonner
SIKKERHET

Måtte bytte bedriftsnavnet. Besto av skadelig HTML-kode

Britiske myndigheter mener bedriftsnavnet utgjorde en sikkerhetsrisiko.

Data kan gjøre skade dersom de gjengis ufiltrert på websider. Det kan også gjelde navn på virksomheter.
Data kan gjøre skade dersom de gjengis ufiltrert på websider. Det kan også gjelde navn på virksomheter. Foto: Weerapat Wattanapichayakul/Colourbox
Del
Kommenter
Harald BrombachHarald BrombachNyhetsleder
21. nov. 2020 - 14:00

Et britisk selskap som inntil nylig het «"><SCRIPT SRC=HTTPS://MJT.XSS.HT> LTD», har blitt tvunget av Companies House, den britiske registermyndigheten for virksomheter, til å endre navnet. Selskapet heter nå «That Company Whose Name Used To Contain HTML Script Tags LTD».

Ifølge The Guardian dreier det seg om et programvareselskap som ønsket å ha et morsomt og lekent navn. Companies House var ikke med på leken.

Kan gjøre betydelig skade

I stedet ble navnet vurdert som risikabelt. Ikke for selskapet selv, men for mange IT-systemer med manglende filtrering eller «escaping» av data. Dersom navnet gjengis ufiltrert på en webside, kan det bli tolket som kode istedenfor data, og da vil det kunne skape et XSS-angrep (Cross-Site Scripting).

Artikkelen fortsetter etter annonsen
annonsørinnhold
Atea
Ikke kast bort tiden på dårlige løsninger for videomøter

Dette skyldes at bedriftsnavnet blant annet inneholder en tegnene «">», som kan avslutte for eksempel INPUT-felt hvor bedriftsnavnet er oppgitt som verdi, og HTML-taggen SCRIPT, som laster en Javascript-fil fra et eksternt domene. Koden i denne filen kan da bli kjørt i brukerens nettleser.

Riktignok peker adressen i dette bedriftsnavnet til en fil som ikke gjør noen ting. Tidligere skal koden i den ha ført til visningen av et uskyldig varsel. Men dersom innholdet i filen en gang i framtiden skiftes ut med skadelig kode, vil den blir kunne kjøres i nettleserne til alle dem som besøker nettsteder gjengir navnet og som er sårbare for slike XSS-angrep.

For øvrig kan navnet skape trøbbel også uten skade skriptkode, ved at det kan ødelegge HTML-strukturen på websiden. Det kan føre til at innhold på siden ikke blir vist.

Companies House skal i ettertid ha slettet alle offentlig tilgjengelige oppføringer av det opprinnelige bedriftsnavnet.

Også andre eksempler

Ifølge The Guardian er ikke dette første gang noen har forsøkt å registre et bedriftsnavn som kan gjøre skade i IT-systemer. I Storbritannia er det flere selskaper som har navn som potensielt kan gjøre stor skade i databasesystemer, ved at de inneholder SQL-operasjonen «DROP TABLE» i navnet, for eksempel:

ROBERT'); DROP TABLE STUDENTS; LIMITED

og

; DROP TABLE "COMPANIES";-- LTD

Disse navnene kan potensielt føre til at hele databasetabeller slettes.

Begge er inspirert av en berømt tegneseriestripe fra xkcd, som også er gjengitt nedenfor. Ingen av disse navnene har blitt forbudt i Storbritannia, selv om de potensielt kan gjøre enda større skade enn eksempelet nevnt innledningsvis i saken.

Mange har noe å lære fra denne berømte tegneseriestripen fra xkcd. <i>Illustrasjon: xkcd (CC BY-NC 2.5)</i>
Mange har noe å lære fra denne berømte tegneseriestripen fra xkcd. Illustrasjon: xkcd (CC BY-NC 2.5)

Bildet nedenfor er et annen eksempel på det samme.

SQL-injiseringssårbarheter kan åpne for svært alvorlige dataangrep. Bildet er antagelig manipulert, men er et morsom eksempel på at det er viktig å behandle inndata med forsiktighet. Her forsøkes det angivelig å få en system for gjenkjenning av bilskilt til å slette en tabell i databasen. Bildet har sirkulert på nettet i alle fall siden 2008. <i>Foto: Ukjent</i>
SQL-injiseringssårbarheter kan åpne for svært alvorlige dataangrep. Bildet er antagelig manipulert, men er et morsom eksempel på at det er viktig å behandle inndata med forsiktighet. Her forsøkes det angivelig å få en system for gjenkjenning av bilskilt til å slette en tabell i databasen. Bildet har sirkulert på nettet i alle fall siden 2008. Foto: Ukjent

Digi.no har ikke funnet norske virksomheter med tilsvarende navn.

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
Skal knekke Silicon Valley-koden: – En «fast track» for global skalering
Skal knekke Silicon Valley-koden: – En «fast track» for global skalering
Maskinlæring finner mønstre som immunforsvaret har lagd, og som avslører sykdom. – Målet vårt er at det om noen år er mulig å sjekke for hundrevis av forskjellige sykdommer basert på én enkelt blodprøve, sier Geir Kjetil Sandve.
Les også

KI: Avslører sykdom før symptomene kommer

Les mer om:
CROSS-SITE SCRIPTINGSIKKERHETSQL-INJISERING
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Forbrukerrådet
Azure utviklere
Forbrukerrådet
Oslo
19. mai
    En tjeneste fra