Una empresa británica tuvo que cambiar el nombre de su web a petición del registro mercantil del Reino Unido después de comprobar que podía ser vulnerable a una secuencia de comandos en sitios cruzados y lanzar ataques contra otras webs.
Un ingeniero de software modificó el nombre de su empresa a ´THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD´ (esa compañía cuyo nombre solía contener html script tags ltd), después de que Companies House, le advirtiera de que el nombre original ponía en riesgo otras webs, incluida la de esta agencia gubernamental.
El nombre original comenzaba con unas comillas (“) y un paréntesis angular (>), lo que habría hecho que las webs que no manejaran correctamente el código HTML entendieran que el nombre de la empresa estaba en blanco y ejecutaran un script desde XSS Hunter, una página que localiza errores en el código.
El riesgo se encuentra en la posibilidad de que un actor malintencionado pudiera haber usado esta vulnerabilidad para ejecutar código en otras webs a través de la secuencia de comandos en sitios cruzados.
Fuente: DPA