Британскую компанию заставили сменить название — с его помощью можно было взламывать сайты

В регистрационной палате Великобритании приняли решение обязать местную компанию сменить название, после того как в нем обнаружили вредоносный код.

Теперь компания называется «THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD» (Компания, в названии которой был HTML скрипт). Ее основатель, британский программист, ответил, что по его мнению, такое название забавно подходило для его консалтингового бизнеса. Также он отметил, что не ожидал такой серьёзной реакции на простейший метод взлома — XSS (cross-site scripting).

Вот изначальное название организации: 

Из-за первых двух символов сайт, который не смог корректно обработать этот HTML код, мог решить, что имя компании пустое. И в результате выполнить скрипт с сайта XSS Hunter. Этот ресурс помогает разработчикам находить XSS уязвимости. 

Конкретно этот скрипт выводит безвредное уведомление об уязвимости. Однако это служит доказательством того, что злоумышленник сможет воспользоваться этой дырой. 

Подобные названия успешно регистрировались в прошлом, например — «; DROP TABLE “COMPANIES”;– LTD». Это неловкая попытка выполнить SQL-инъекцию, вдохновленная известным веб-комиксом XKCD. Тем не менее, это первый случай, когда название имело такой отклик. Регистрационная палата удалила все упоминания этого названия из своих документов с пометкой — «Имя компании доступно по запросу».

web comics

Комикс с сайта imgs.xkcd.com — Добрый день, это из школы где учится ваш сын. — О боже, он что-то сломал? — Вы действительно назвали сына Роберт`); DROP TABLE Students;– ? — Да, мы зовём его маленький Бобби Тейблз. — Хм, мы потеряли записи о студентах этого года. Надеюсь вы счастливы. — А я надеюсь, что вы научитесь экранировать символы во входных данных.

Источник Company forced to change name that could be used to hack websites