The heart that once truly loves never forgets

前言(废话):

社交网站是目前全球最热门的一种网站,我在各种社交网站上都有帐号,facebook,人人,开心等..但是我同时拥有自己的Blog,每次我写一篇日志,当然想更多人看到,重复发送到facebook,人人,开心?当然不需要,这些网站都提供了rss订阅,一键追踪导入日志..good.

本文也就是根据RSS存在的安全隐患展开讨论.

大家都知道rss,本身是支持html的.

目前开心,facebook,人人等各种网站在编写日志的时候,显然都是禁用HTML的,因为这中间会让hacker们有大量的利用机会.

但是,无意中我发现,开心网在导入rss的时候,没有过滤其中的HTML元素!!其他几个社交网站都进行了过滤.OK.让我们开始测试.

咱就用个最原始的挂马方法好了iframe框架..HOHO.

由于我用的feedsky的rss服务,要过几个小时之后rss端才会有反应.所以,等几个小时之后,我们就可以在开心网检查一下,这段代码是否被成功导入,抛砖引玉而已啦,呵呵,这个也算是自己的一点小发现,转载的话请注明原文链接哦!