Ін’єкція фідів - атаки через RSS і Atom фіди

22:44 14.11.2009

В своїй статті Feed Injection in Web 2.0 Robert Auger розповідає про атаки через фіди. Про можливість проведення XSS, CSRF та інших атак через RSS і Atom фіди.

До речі, про файл HackingFeeds.pdf та UXSS уразливість через даний pdf-файл я вже згадував в минулому році ;-) .

В статті наводяться можливі вектори атак, зони виконання коду (Remote і Local) та ризики в різних зонах. А також ризики різних типів читачів фідів, можливості поширення коду через фіди та ризики в різних стандартах (RSS і Atom).

З цією темою я знайомий вже давно - як прочитав дану статтю в 2006 році. І хоча інформації про уразливості в браузерах пов’язаних з фідами в останні роки майже не з’являлося (за виключенням двох дірок в Opera), але нещодавно тема атаки через фіди стала знову актуальною. Коли були виявлені уразливості в Opera та Google Chrome, що дозволяють проводити XSS атаки через фіди.


Leave a Reply

You must be logged in to post a comment.