Een Britse ondernemer die het een goed idee vond om een bedrijf te registreren met een scrip-tag in de naam waarmee op cross-site scripting (XSS) werd getest heeft een andere bedrijfsnaam moeten kiezen. Dat laten The Register en The Guardian weten.

Het bedrijf had eerst de naam ">< SCRIPT SRC[=]HTTPS[:]//MJT.XSS.HT> LTD (zonder brackets). Wanneer andere partijen gebruikmaakte van de API van Companies House, het Britse Handelsregister, en de invoer niet goed valideerden, werd er een script van van de website XSS Hunter geladen. Het script toonde een onschuldige waarschuwing, maar liet wel zien dat de betreffende website kwetsbaar was voor cross-site scripting.

De ondernemer laat op het ontwikkelaarsforum van Companies House weten dat < en > toegestane karakters zijn en hij dacht dat de meeste websites de invoer zouden "escapen", zodat de XSS-code niet werd uitgevoerd. "Ik zou een speelse bedrijfsnaam hebben gehad die voor een grinnik had gezorgd bij de mensen met wie we zaken doen!", aldus de ondernemer.

In de praktijk bleek de naam toch voor problemen bij klanten van het Handelsregister te zorgen, waarvan er een aantal kwetsbaar bleek. Daarop waarschuwde de ondernemer het Britse National Cyber Security Centre en Companies House. Het Handelsregister nam maatregelen om het risico te mitigeren en herhaling in de toekomst te voorkomen. Daarnaast moest de ondernemer een nieuwe bedrijfsnaam kiezen. Hij koos voor: THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD.