Dipaksa Mengganti Nama Perusahaan “><SCRIPT SRC=HTTPS://MJT.XSS.HT> LTD” (2020)

 (theguardian.com)
2 poin oleh GN⁺ 2024-10-26 | 1 komentar | Bagikan ke WhatsApp

  • Pemaksaan perubahan nama perusahaan

    • Companies House memaksa perubahan nama perusahaan dengan alasan risiko keamanan
    • Nama aslinya adalah "“><SCRIPT SRC=HTTPS://MJT.XSS.HT>; LTD", yang merupakan nama yang rentan terhadap serangan cross-site scripting (XSS)
    • Kerentanan keamanan dibuktikan dengan memuat skrip dari situs XSSHunter untuk menampilkan pesan peringatan

  • Latar belakang perubahan nama

    • Seorang insinyur perangkat lunak asal Inggris mendirikan perusahaan dengan nama yang lucu dan usil
    • Companies House menyadari bahwa nama tersebut dapat menimbulkan risiko keamanan dan meminta perubahan nama
    • Nama serupa pernah didaftarkan sebelumnya, tetapi kasus ini adalah yang pertama memicu tindakan

  • Langkah keamanan

    • Companies House mengambil tindakan segera untuk mengurangi risiko keamanan dan menyiapkan langkah pencegahan agar kasus serupa tidak terulang
    • Nama perusahaan saat ini telah diubah menjadi "THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD"

  • Posisi direktur perusahaan

    • Direktur perusahaan berpikir bahwa Government Digital Service (GDS) memiliki reputasi yang baik dalam hal keamanan sehingga seharusnya tidak ada masalah
    • Begitu masalah ditemukan, ia segera menghubungi Companies House dan National Cyber Security Centre

Ringkasan GN⁺

  • Artikel ini membahas risiko keamanan yang dapat muncul jika nama perusahaan mengandung kode HTML
  • Artikel ini mengingatkan pentingnya kewaspadaan terhadap kerentanan keamanan seperti cross-site scripting (XSS)
  • Sebagai proyek lain di industri dengan fungsi serupa, pedoman keamanan OWASP dapat direkomendasikan
  • Artikel ini meningkatkan kesadaran keamanan dan menekankan pentingnya mempertimbangkan aspek keamanan saat mendaftarkan nama perusahaan

Bacaan terkait

1 komentar

 
GN⁺ 2024-10-26
Komentar Hacker News

  • Seorang pengguna membagikan kasus penyalahgunaan sistem operasi Windows dan perangkat lunak antivirus pada terminal parkir. Ia mengenkode string uji EICAR ke dalam kode QR dan memindainya, lalu popup antivirus menutupi layar terminal sehingga tidak bisa digunakan

  • Ini adalah contoh trolling yang begitu bagus sampai memerlukan perubahan hukum, dan undang-undang kemudian direvisi agar nama perusahaan tidak boleh memuat kode komputer

  • Pada 2014, ada kasus seorang pengemudi di Polandia menambahkan SQL injection pada pelat nomornya untuk menghindari kamera kecepatan

  • Sebuah perusahaan menggunakan nama yang memuat tag skrip HTML lalu secara hukum dipaksa mengganti namanya

  • Nama pendirinya adalah "ROBERT'); DROP TABLE STUDENTS;", yang mengingatkan pada kasus Little Bobby Tables yang terkenal

  • Seseorang berbagi pengalaman sekitar tahun 2000 saat memakai skrip di Coke Auction agar orang lain tidak bisa menawar dalam lelang. Ia memang mendapatkan banyak barang, tetapi akhirnya akunnya dihapus dan menerima peringatan dari Coke UK

  • Ada yang menyoroti masalah bahwa pada feed RSS, tidak jelas apakah elemen judul adalah HTML atau teks biasa. Atom secara eksplisit menetapkan bahwa elemen judul diperlakukan sebagai teks biasa

  • Disebutkan bahwa sebuah perusahaan terdaftar dengan karakter yang dapat menimbulkan risiko keamanan, tetapi tidak berdampak pada Companies House sendiri, dan kemungkinan keamanan sebagian pelanggan menjadi rentan

  • Kasus terkait juga dibahas dalam artikel tahun 2020