Cross-Site Scripting

Måtte bytte bedriftsnavnet. Besto av skadelig HTML-kode

Britiske myndigheter mener bedriftsnavnet utgjorde en sikkerhetsrisiko.

Data kan gjøre skade dersom de gjengis ufiltrert på websider. Det kan også gjelde navn på virksomheter.
Data kan gjøre skade dersom de gjengis ufiltrert på websider. Det kan også gjelde navn på virksomheter. (Foto: Weerapat Wattanapichayakul/Colourbox)

Britiske myndigheter mener bedriftsnavnet utgjorde en sikkerhetsrisiko.

Et britisk selskap som inntil nylig het «"><SCRIPT SRC=HTTPS://MJT.XSS.HT> LTD», har blitt tvunget av Companies House, den britiske registermyndigheten for virksomheter, til å endre navnet. Selskapet heter nå «That Company Whose Name Used To Contain HTML Script Tags LTD».

Ifølge The Guardian dreier det seg om et programvareselskap som ønsket å ha et morsomt og lekent navn. Companies House var ikke med på leken.

Kan gjøre betydelig skade

I stedet ble navnet vurdert som risikabelt. Ikke for selskapet selv, men for mange IT-systemer med manglende filtrering eller «escaping» av data. Dersom navnet gjengis ufiltrert på en webside, kan det bli tolket som kode istedenfor data, og da vil det kunne skape et XSS-angrep (Cross-Site Scripting).

Dette skyldes at bedriftsnavnet blant annet inneholder en tegnene «">», som kan avslutte for eksempel INPUT-felt hvor bedriftsnavnet er oppgitt som verdi, og HTML-taggen SCRIPT, som laster en Javascript-fil fra et eksternt domene. Koden i denne filen kan da bli kjørt i brukerens nettleser.

Riktignok peker adressen i dette bedriftsnavnet til en fil som ikke gjør noen ting. Tidligere skal koden i den ha ført til visningen av et uskyldig varsel. Men dersom innholdet i filen en gang i framtiden skiftes ut med skadelig kode, vil den blir kunne kjøres i nettleserne til alle dem som besøker nettsteder gjengir navnet og som er sårbare for slike XSS-angrep.

For øvrig kan navnet skape trøbbel også uten skade skriptkode, ved at det kan ødelegge HTML-strukturen på websiden. Det kan føre til at innhold på siden ikke blir vist.

Companies House skal i ettertid ha slettet alle offentlig tilgjengelige oppføringer av det opprinnelige bedriftsnavnet.

Også andre eksempler

Ifølge The Guardian er ikke dette første gang noen har forsøkt å registre et bedriftsnavn som kan gjøre skade i IT-systemer. I Storbritannia er det flere selskaper som har navn som potensielt kan gjøre stor skade i databasesystemer, ved at de inneholder SQL-operasjonen «DROP TABLE» i navnet, for eksempel:

ROBERT'); DROP TABLE STUDENTS; LIMITED

og

; DROP TABLE "COMPANIES";-- LTD

Disse navnene kan potensielt føre til at hele databasetabeller slettes.

Begge er inspirert av en berømt tegneseriestripe fra xkcd, som også er gjengitt nedenfor. Ingen av disse navnene har blitt forbudt i Storbritannia, selv om de potensielt kan gjøre enda større skade enn eksempelet nevnt innledningsvis i saken.

Tegneseriestripe med sønn som heter «Robert') DROP TABLE Students;--».
Mange har noe å lære fra denne berømte tegneseriestripen fra xkcd. Illustrasjon: xkcd (CC BY-NC 2.5)

Bildet nedenfor er et annen eksempel på det samme.

Bil med skiltnummer som potensielt kan utløse et SQL-injiseringsangrep.
SQL-injiseringssårbarheter kan åpne for svært alvorlige dataangrep. Bildet er antagelig manipulert, men er et morsom eksempel på at det er viktig å behandle inndata med forsiktighet. Her forsøkes det angivelig å få en system for gjenkjenning av bilskilt til å slette en tabell i databasen. Bildet har sirkulert på nettet i alle fall siden 2008. Foto: Ukjent

Digi.no har ikke funnet norske virksomheter med tilsvarende navn.

Les også

Kommentarer (1)

Kommentarer (1)
Til toppen