LTD” 사명 변경 강요 (2020)

(theguardian.com)

2P by neo 1달전 | favorite | 댓글 1개

회사 이름 변경 강제
- Companies House가 보안 위험을 이유로 회사 이름 변경을 강제함
- 원래 이름은 "“><SCRIPT SRC=HTTPS://MJT.XSS.HT>; LTD"였으며, 이는 크로스 사이트 스크립팅(XSS) 공격에 취약한 이름이었음
- XSSHunter 사이트에서 스크립트를 로드하여 경고 메시지를 표시하는 방식으로 보안 취약점을 증명함
이름 변경의 배경
- 영국 소프트웨어 엔지니어가 재미와 장난기 있는 이름으로 회사를 설립함
- Companies House가 해당 이름이 보안 위험을 초래할 수 있음을 인지하고 이름 변경을 요구함
- 이전에도 유사한 이름이 등록된 적이 있으나, 이번 사례가 처음으로 대응을 유발함
보안 조치
- Companies House는 보안 위험을 줄이기 위해 즉각적인 조치를 취하고 유사한 사례가 발생하지 않도록 예방 조치를 마련함
- 회사 이름은 현재 "THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD"로 변경됨
회사 디렉터의 입장
- 회사 디렉터는 정부 디지털 서비스(GDS)가 보안에 대해 좋은 평판을 가지고 있어 문제가 없을 것이라 생각했음
- 문제가 발견되자마자 Companies House와 국가 사이버 보안 센터에 즉시 연락함

GN⁺의 정리

이 기사는 회사 이름에 HTML 코드가 포함될 경우 발생할 수 있는 보안 위험을 다루고 있음
크로스 사이트 스크립팅(XSS)과 같은 보안 취약점에 대한 경각심을 일깨워 줌
비슷한 기능을 가진 산업 내 다른 프로젝트로는 OWASP의 보안 가이드라인을 추천할 수 있음
이 기사는 보안에 대한 인식을 높이고, 회사 이름 등록 시 보안 고려의 중요성을 강조함

▲

neo 1달전 [-]

Hacker News 의견

한 사용자가 주차장 터미널에서 Windows 운영 체제와 안티바이러스 소프트웨어를 악용한 사례를 공유함. QR 코드에 EICAR 테스트 문자열을 인코딩하여 스캐너에 넣었더니 안티바이러스 팝업이 터미널 화면을 가려 사용 불가능하게 만들었음
법률 변경을 필요로 했던 훌륭한 트롤링 사례로, 회사 이름에 컴퓨터 코드를 포함할 수 없도록 법이 개정되었음
2014년 폴란드의 한 운전자가 속도 카메라를 피하기 위해 번호판에 SQL 인젝션을 추가한 사례가 있었음
한 회사는 HTML 스크립트 태그를 포함한 이름을 사용하다가 법적으로 이름을 변경해야 했음
창립자의 이름이 "ROBERT'); DROP TABLE STUDENTS;"로, 이는 유명한 Little Bobby Tables 사례를 연상시킴
2000년경 Coke Auction에서 스크립트를 사용하여 경매에서 다른 사람이 입찰하지 못하게 했던 경험을 공유함. 많은 물건을 얻었지만 결국 계정이 삭제되고 Coke UK로부터 경고를 받았음
RSS 피드에서 제목 요소가 HTML인지 일반 텍스트인지 명확하지 않다는 문제를 지적함. Atom은 제목 요소를 명확히 일반 텍스트로 처리하도록 명시하고 있음
한 회사가 보안 위험을 초래할 수 있는 문자로 등록되었으나, Companies House 자체에는 영향을 미치지 않았고, 일부 고객의 보안이 취약했을 가능성이 있다고 언급됨
2020년 기사에서 관련 사례가 다루어졌음

답변달기