“><SCRIPT SRC=HTTPS://MJT.XSS.HT> LTD” şirket adını değiştirmeye zorlandı (2020)

 (theguardian.com)
2 puan yazan GN⁺ 2024-10-26 | 1 yorum | WhatsApp'ta paylaş

  • Şirket adının zorla değiştirilmesi

    • Companies House, güvenlik riski gerekçesiyle şirketin adını değiştirmesini zorunlu kıldı
    • Orijinal ad "“><SCRIPT SRC=HTTPS://MJT.XSS.HT>; LTD" idi ve bu ad, cross-site scripting (XSS) saldırılarına açık bir isimdi
    • Güvenlik açığı, XSSHunter sitesinden bir script yüklenip uyarı mesajı gösterilerek kanıtlandı

  • Ad değişikliğinin arka planı

    • Bir Birleşik Krallık yazılım mühendisi, eğlenceli ve şakacı bir adla şirket kurdu
    • Companies House, bu adın güvenlik riski yaratabileceğini fark edip adın değiştirilmesini talep etti
    • Daha önce de benzer adlar kaydedilmişti ancak bu vaka ilk kez bir müdahaleyi tetikledi

  • Güvenlik önlemleri

    • Companies House, güvenlik riskini azaltmak için derhal adım attı ve benzer vakaların yeniden yaşanmaması için önleyici tedbirler hazırladı
    • Şirketin adı şu anda "THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD" olarak değiştirildi

  • Şirket direktörünün görüşü

    • Şirket direktörü, Government Digital Service'in (GDS) güvenlik konusunda iyi bir itibara sahip olduğu için sorun çıkmayacağını düşündü
    • Sorun fark edilir edilmez Companies House ve National Cyber Security Centre ile hemen iletişime geçti

GN⁺ özeti

  • Bu makale, şirket adında HTML kodu bulunmasının yol açabileceği güvenlik risklerini ele alıyor
  • Cross-site scripting (XSS) gibi güvenlik açıklarına karşı farkındalık oluşturuyor
  • Benzer işleve sahip sektördeki diğer projeler arasında OWASP'ın güvenlik yönergeleri önerilebilir
  • Makale, güvenlik farkındalığını artırıyor ve şirket adı kaydı sırasında güvenlik değerlendirmesinin önemini vurguluyor

İlgili okumalar

1 yorum

 
GN⁺ 2024-10-26
Hacker News yorumu

  • Bir kullanıcı, otopark terminalinde Windows işletim sistemi ile antivirüs yazılımının nasıl istismar edildiğine dair bir örnek paylaştı. QR koduna EICAR test dizisini kodlayıp tarayıcıya verdiğinde, antivirüs açılır penceresi terminal ekranını kapatıp sistemi kullanılamaz hale getirdi

  • Bunun, yasa değişikliği gerektiren harika bir trolleme örneği olduğu; şirket adında bilgisayar kodu kullanılmasını engellemek için yasanın değiştirildiği belirtildi

  • 2014'te Polonya'da bir sürücünün hız kamerasından kaçınmak için plakasına SQL injection eklediği bir vaka olduğu aktarıldı

  • Bir şirketin, adında HTML script etiketi kullanması nedeniyle yasal olarak adını değiştirmek zorunda kaldığı belirtildi

  • Kurucunun adının "ROBERT'); DROP TABLE STUDENTS;" olduğu, bunun da meşhur Little Bobby Tables vakasını hatırlattığı ifade edildi

  • 2000 yılı civarında Coke Auction'da script kullanarak açık artırmada başkalarının teklif vermesini engellediğine dair bir deneyim paylaşıldı. Pek çok ürün kazanılmış olsa da sonunda hesap silinmiş ve Coke UK'den uyarı alınmış

  • RSS akışlarında başlık öğesinin HTML mi yoksa düz metin mi olduğunun net olmadığı sorunu gündeme getirildi. Atom ise başlık öğesinin açıkça düz metin olarak ele alınmasını şart koşuyor

  • Bir şirketin, güvenlik riski yaratabilecek karakterlerle kaydedildiği ancak bunun Companies House'un kendisini etkilemediği, buna karşın bazı müşterilerin güvenliğinin zayıf kalmış olabileceği belirtildi

  • 2020 tarihli bir makalede ilgili vakaların ele alındığı ifade edildi