ถูกบังคับให้เปลี่ยนชื่อบริษัท “><SCRIPT SRC=HTTPS://MJT.XSS.HT> LTD” (2020)

 (theguardian.com)
2 คะแนน โดย GN⁺ 2024-10-26 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

  • บังคับให้เปลี่ยนชื่อบริษัท

    • Companies House บังคับให้เปลี่ยนชื่อบริษัทโดยให้เหตุผลว่าเป็นความเสี่ยงด้านความปลอดภัย
    • ชื่อเดิมคือ "“><SCRIPT SRC=HTTPS://MJT.XSS.HT>; LTD" ซึ่งเป็นชื่อที่เสี่ยงต่อการโจมตีแบบ Cross-site scripting (XSS)
    • มีการพิสูจน์ช่องโหว่ด้านความปลอดภัยด้วยวิธีโหลดสคริปต์จากเว็บไซต์ XSSHunter เพื่อแสดงข้อความแจ้งเตือน

  • เบื้องหลังของการเปลี่ยนชื่อ

    • วิศวกรซอฟต์แวร์ชาวสหราชอาณาจักรได้ก่อตั้งบริษัทโดยใช้ชื่อที่มีความขำขันและกวนเล็กน้อย
    • Companies House ตระหนักว่าชื่อดังกล่าวอาจก่อให้เกิดความเสี่ยงด้านความปลอดภัย จึงเรียกร้องให้เปลี่ยนชื่อ
    • ก่อนหน้านี้ก็เคยมีการจดทะเบียนชื่อคล้ายกัน แต่กรณีนี้เป็นครั้งแรกที่ทำให้เกิดการตอบสนอง

  • มาตรการด้านความปลอดภัย

    • Companies House ได้ดำเนินการทันทีเพื่อลดความเสี่ยงด้านความปลอดภัย และจัดทำมาตรการป้องกันเพื่อไม่ให้เกิดกรณีคล้ายกันอีก
    • ปัจจุบันชื่อบริษัทถูกเปลี่ยนเป็น "THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD"

  • มุมมองของกรรมการบริษัท

    • กรรมการบริษัทคิดว่า Government Digital Service (GDS) มีชื่อเสียงที่ดีด้านความปลอดภัย จึงไม่น่าจะมีปัญหา
    • ทันทีที่พบปัญหา เขาได้ติดต่อ Companies House และ National Cyber Security Centre โดยทันที

สรุปโดย GN⁺

  • บทความนี้กล่าวถึงความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นเมื่อชื่อบริษัทมีโค้ด HTML รวมอยู่ด้วย
  • ช่วยกระตุ้นให้ตระหนักถึงช่องโหว่ด้านความปลอดภัย เช่น Cross-site scripting (XSS)
  • สำหรับโครงการอื่นในอุตสาหกรรมที่มีบทบาทคล้ายกัน สามารถแนะนำแนวทางความปลอดภัยของ OWASP ได้
  • บทความนี้ช่วยยกระดับการรับรู้ด้านความปลอดภัย และเน้นย้ำความสำคัญของการคำนึงถึงความปลอดภัยในการจดทะเบียนชื่อบริษัท

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2024-10-26
ความคิดเห็นจาก Hacker News

  • ผู้ใช้รายหนึ่งแชร์กรณีการใช้ประโยชน์จากระบบปฏิบัติการ Windows และซอฟต์แวร์แอนติไวรัสในเครื่องเทอร์มินัลลานจอดรถ โดยเข้ารหัสสตริงทดสอบ EICAR ลงในคิวอาร์โค้ดแล้วให้สแกนเนอร์อ่าน ทำให้ป๊อปอัปแอนติไวรัสขึ้นมาบังหน้าจอเทอร์มินัลจนใช้งานไม่ได้

  • นี่เป็นกรณีของการปั่นที่ยอดเยี่ยมจนต้องมีการแก้กฎหมาย โดยกฎหมายถูกปรับให้ไม่สามารถใส่โค้ดคอมพิวเตอร์ไว้ในชื่อบริษัทได้

  • มีกรณีในปี 2014 ที่คนขับรถชาวโปแลนด์รายหนึ่งเพิ่ม SQL injection ลงบนป้ายทะเบียนเพื่อหลบเลี่ยงกล้องจับความเร็ว

  • บริษัทแห่งหนึ่งใช้ชื่อที่มีแท็กสคริปต์ HTML รวมอยู่ด้วย ก่อนจะถูกบังคับตามกฎหมายให้เปลี่ยนชื่อ

  • ชื่อของผู้ก่อตั้งคือ "ROBERT'); DROP TABLE STUDENTS;" ซึ่งชวนให้นึกถึงกรณี Little Bobby Tables อันโด่งดัง

  • มีการแชร์ประสบการณ์ว่าราวปี 2000 เคยใช้สคริปต์ใน Coke Auction เพื่อทำให้คนอื่นไม่สามารถประมูลได้ ได้ของมาหลายชิ้น แต่สุดท้ายบัญชีถูกลบและได้รับคำเตือนจาก Coke UK

  • มีการชี้ปัญหาว่าใน RSS feed ไม่ชัดเจนว่าองค์ประกอบ title เป็น HTML หรือข้อความธรรมดา ขณะที่ Atom ระบุไว้อย่างชัดเจนว่าองค์ประกอบ title ต้องถูกจัดการเป็นข้อความธรรมดา

  • มีการกล่าวถึงว่าบริษัทหนึ่งได้รับการจดทะเบียนด้วยอักขระที่อาจก่อความเสี่ยงด้านความปลอดภัย แต่ไม่ได้ส่งผลต่อ Companies House เอง แต่อาจทำให้ความปลอดภัยของลูกค้าบางรายเปราะบาง

  • มีการกล่าวถึงกรณีที่เกี่ยวข้องในบทความปี 2020