Se un feed RSS gestisce in modo errato citazioni e tag HTML, può essere considerato un rischio per la sicurezza?

Naviga le tue risposte
6

Sto cercando di incoraggiare un'organizzazione a correggere il proprio feed RSS, che presenta numerosi problemi con il modo in cui le virgolette e i tag nel testo sorgente vengono visualizzati nei lettori di feed. Mi piacerebbe essere in grado di dire loro che il loro feed costituisce un rischio per la sicurezza dei lettori, perché penso che potrebbe attirare la loro attenzione.

Ecco alcuni dei problemi che ho documentato:

  • caratteri estesi spuri
  • pezzi di codice HTML casuale
  • caratteri mancanti, inclusi interi paragrafi a volte
  • i caratteri di citazione non appaiono quasi mai (in particolare apostrofi)
  • spazi mancanti tra le parole

A volte un post sarà così incasinato da avere pagine dopo pagina di spazzatura.

Ho testato diversi lettori di feed, su sistemi Windows e Mac, e i problemi sono apparsi in tutti i test. Lo stesso materiale sembra buono quando viene visualizzato nella pagina di origine.

Supponendo che la risposta sia sì, in che modo il rischio potrebbe influire sugli utenti?

    
posta boot13 21.12.2015 - 14:03
fonte

2 risposte

3

HTML malformato, a causa di ciò che stai descrivendo dove le persone sono in grado di iniettare tag nel feed, può mettere gli utenti a rischio di un bel po 'di cose.

  • pieces of random HTML markup
  • missing characters, including entire paragraphs at times
  • quote characters almost never appear (especially apostrophes)
  • missing spaces between words

Questo è il risultato del risanamento degli input, che è intrinsecamente insicuro, buggato e non vale il tempo di nessuno, oltre alla mancanza di istruzioni preparate, il che significa che l'applicazione web è vulnerabile. L'igienizzazione dei risultati è la risposta qui.

Consentitemi di ripetere Mark C. Wallace , "pagina dopo pagina di garbage = errore nel consegnare il contenuto correttamente = perdita di integrità e disponibilità = rischio di sicurezza." Potenzialmente ulteriori conseguenze. "

Assuming the answer is yes, how might the risk affect users?

Questo è un problema molto pericoloso. Come può influire sugli utenti? Esistono diversi modi:

  1. Iniezione di javascript dannosi, flash, java, ecc. nelle pagine dell'utente.
  2. Iniezione di contenuti che indirizzano gli utenti a siti Web di malware
  3. Iniezione di code tags nel sito web del tuo cliente: <% %> , <?php ?> , ecc., che consente una violazione completa di praticamente tutto.
risposta data 21.12.2015 - 18:29
fonte
3

Di per sé, l'HTML malformato non sta probabilmente mettendo i propri utenti a rischio di qualcosa di diverso dallo sviluppare un'avversione verso un feed amatoriale e brutto. Probabilmente è causato da un convertitore automatizzato Word-to-HTML o PDF-to-HTML, ma da soli non creeranno rischi per i loro lettori.

Includono i dati inviati dall'utente nel loro feed? In tal caso, potrebbero sottoporre i propri utenti a un attacco CSRF o XSS. Oppure potrebbero essere suscettibili all'iniezione di script. Ma se è così, quelli potrebbero essere vulnerabilità indipendentemente dal fatto che il resto del loro HTML sia ben formato o no. Il fatto che non testino i loro feed o che si preoccupino della loro immagine può dare ai clienti l'impressione di non preoccuparsi di altre questioni come la sicurezza o la sicurezza dei dati; ma non è una prova di negligenza.

Non utilizzare la "sicurezza" come un bastone se non si hanno prove più concrete di una vulnerabilità. Invece, fagli sapere che la loro immagine aziendale si sta facendo sentire male. Quando alzi la posta in gioco, potresti dire "se non ti interessa di questo, perché dovrei credere che ti interessi di altre cose, come la sicurezza dei miei dati?" Se continuano a non fare nulla, ti suggerisco di cercare altrove la tua fonte di notizie di attualità. Ci sono milioni di altri siti web, alcuni dei quali potrebbero servire meglio.

    
risposta data 21.12.2015 - 18:11
fonte

Leggi altre domande sui tag

Protocolli TLS 1.0, 1.1, 1.2. Devo sbarazzarmi di TLS 1.0? [duplicare] Apple vs DOJ: quanto è strong la barriera di forza bruta da 10 tentativi?