RSS読書における潜在的な安全問題【総合文】
先日読みました?RSSリードにおける潜在的なセキュリティ問題|未完了-Incompleteは、Rich TextのRSSに混在するjsがRSSリードクライアントで実行され、潜在的な脆弱性の問題を引き起こすことを意味する.たまたま私も先週末に似たような問題に遭遇しましたが、もっと深刻なのはRSSが集約されたサーバー側です.私のトップページはrequireでonce('lilina.html')の方法にはlilinaが含まれています.phpで生成された静的ページの組合せにより生成され、ソースコードは以下の通りである.サーバ間PHPスクリプトで実行されるセキュリティ・ホールも含まれています.もし私が購読したRSSにハッカーが混入したらこのようなコードには、私のサーバでphpスクリプトを直接実行できるのではないでしょうか.この潜在的な脆弱性の発見はMSNのSearch blogのFEEDから引き出された.
先週の日曜日の質問はこうでした:日曜日の午前、私は突然自分のblogの中間requireの部分が表示できないことに気づいて、午前の元のphpの新しいバージョンの中でデフォルトのdisplayを調査しました.errorがオフになると、プログラムがエラーに遭遇すると実行が停止するだけで、エラー情報を表示するphpページで設定する必要があります:ini_set('display_error', true); エラーが正常に表示されます.私は別のテストをしました.phpは、ある行にphp解析エラーを除いて発見されたことを示しています.MSNだったSearch blogの1篇には
広告リソースが常に人々の注意力の移行に伴って移行しているように、様々なSpamや悪意のあるコードも同様にネットユーザーの注意力の変動を追っている.RSS読書が流行し始めると、悪意のあるコードもRSSという新興の読書方式と読書ツールを狙っている.
先週GreatNewsのユーザーフォーラムで、あるユーザーがGreatNewsに悪意のあるコードフィルタリング機能を追加することを望んでいる.彼が購読したRSSが悪意のあるコードに迷惑をかけているからだ.
私が購読したRSSリンクは、ずっとよくできていましたが、今日このチャンネルを見ていると、不思議なことにhxxp://mtvにジャンプしました.5522.com/music/index.htmのこのようなごみのウェブサイト、またどれがごみの広告のSBをむやみに出してBlogを申請したのか分からないで、RSSに収録されて、もとはこのような類のはすべて1山の文字のリンクを出して、これは良くて、アップグレードして、少しも直接行って、頼りにします!
Tempからソースファイルを見つけて分析したところ、埋め込みスクリプト
Feedの中の悪意のあるコードはまだ氾濫していないが、すでに悪意のあるウェブサイトがこの潜在力のある新しい分野を発見し、RSSにJavascriptとactiveXを内蔵して自動ジャンプやその他の機能を達成し、ウイルスや木馬を植え込み、RSSリーダーに悪意のあるコードフィルタリングを加える機能はすでにRSSリーダーに対する新しい要求となっている.
RSSリーダーのセキュリティチェックに特化したFeedを購読することで(この購読内容には不良コードが含まれていますので、慎重に購読してくださいが、あなたのパソコンに大きな不利な影響を与えることはありません)、フィルタの不良コードがないクライアントRSSリーダーが少なくないことがわかります.RSSの潜在的なセキュリティ問題がまだ重視されていないことがわかります.しかし、FeedDemonとGreatNews(build 339)はセキュリティテストに合格することができます.
オンラインRSSリーダーの状況は少し良くて、私がテストしたRojo、Bloglines、GougouとBoyueの4つの中外オンラインRSSリーダーの中で、Boyueだけがjsが実行されることを提示して、安全性の問題が存在して、残りの3つのリーダーはすべてその中に埋め込まれたjsを実行しません.一方,bloglinesのコンテンツのみが正常に表示され,10件の文章が表示されたが,Rojoには何も表示されず,Gougou/Boyueには1件の文章しか表示されず,このRSSには実際には12件の文章が含まれている.主要なオンラインRSSリーダーは、悪意のあるコードの実行を制限しているが、RSSに組み込まれた悪意のあるコードに対してフィルタリングを行うわけではないため、表示されるフィルタリング効果に問題があることがわかる.
もともと純粋で便利で、点滅する広告や悩ましいプラグインの影響を受ける必要のないRSSの読み方は、ホームページのように悪意のあるサイトが猛威を振るう場所ではなく、オンラインでもクライアントのRSSリーダーでも潜在的な安全問題を重視し始め、一般のネットユーザーが知らず知らずのうちに悪意のあるサイトの捕虜にならないようにしなければならない.
先週の日曜日の質問はこうでした:日曜日の午前、私は突然自分のblogの中間requireの部分が表示できないことに気づいて、午前の元のphpの新しいバージョンの中でデフォルトのdisplayを調査しました.errorがオフになると、プログラムがエラーに遭遇すると実行が停止するだけで、エラー情報を表示するphpページで設定する必要があります:ini_set('display_error', true); エラーが正常に表示されます.私は別のテストをしました.phpは、ある行にphp解析エラーを除いて発見されたことを示しています.MSNだったSearch blogの1篇には
$filename = "lilina.html";
$dataFile = fopen( $filename, "r" );
if ( $dataFile ) {
while (!feof($dataFile))
{
$buffer = fgets($dataFile, 4096);
echo $buffer;
}
fclose($dataFile);
} else {
die( "fopen failed for $filename" );
}
後記:ありがとうZheng Kai:fileを変更しました.get_contents('lilina.html');しました.広告リソースが常に人々の注意力の移行に伴って移行しているように、様々なSpamや悪意のあるコードも同様にネットユーザーの注意力の変動を追っている.RSS読書が流行し始めると、悪意のあるコードもRSSという新興の読書方式と読書ツールを狙っている.
先週GreatNewsのユーザーフォーラムで、あるユーザーがGreatNewsに悪意のあるコードフィルタリング機能を追加することを望んでいる.彼が購読したRSSが悪意のあるコードに迷惑をかけているからだ.
私が購読したRSSリンクは、ずっとよくできていましたが、今日このチャンネルを見ていると、不思議なことにhxxp://mtvにジャンプしました.5522.com/music/index.htmのこのようなごみのウェブサイト、またどれがごみの広告のSBをむやみに出してBlogを申請したのか分からないで、RSSに収録されて、もとはこのような類のはすべて1山の文字のリンクを出して、これは良くて、アップグレードして、少しも直接行って、頼りにします!
Tempからソースファイルを見つけて分析したところ、埋め込みスクリプト
Feedの中の悪意のあるコードはまだ氾濫していないが、すでに悪意のあるウェブサイトがこの潜在力のある新しい分野を発見し、RSSにJavascriptとactiveXを内蔵して自動ジャンプやその他の機能を達成し、ウイルスや木馬を植え込み、RSSリーダーに悪意のあるコードフィルタリングを加える機能はすでにRSSリーダーに対する新しい要求となっている.
RSSリーダーのセキュリティチェックに特化したFeedを購読することで(この購読内容には不良コードが含まれていますので、慎重に購読してくださいが、あなたのパソコンに大きな不利な影響を与えることはありません)、フィルタの不良コードがないクライアントRSSリーダーが少なくないことがわかります.RSSの潜在的なセキュリティ問題がまだ重視されていないことがわかります.しかし、FeedDemonとGreatNews(build 339)はセキュリティテストに合格することができます.
オンラインRSSリーダーの状況は少し良くて、私がテストしたRojo、Bloglines、GougouとBoyueの4つの中外オンラインRSSリーダーの中で、Boyueだけがjsが実行されることを提示して、安全性の問題が存在して、残りの3つのリーダーはすべてその中に埋め込まれたjsを実行しません.一方,bloglinesのコンテンツのみが正常に表示され,10件の文章が表示されたが,Rojoには何も表示されず,Gougou/Boyueには1件の文章しか表示されず,このRSSには実際には12件の文章が含まれている.主要なオンラインRSSリーダーは、悪意のあるコードの実行を制限しているが、RSSに組み込まれた悪意のあるコードに対してフィルタリングを行うわけではないため、表示されるフィルタリング効果に問題があることがわかる.
もともと純粋で便利で、点滅する広告や悩ましいプラグインの影響を受ける必要のないRSSの読み方は、ホームページのように悪意のあるサイトが猛威を振るう場所ではなく、オンラインでもクライアントのRSSリーダーでも潜在的な安全問題を重視し始め、一般のネットユーザーが知らず知らずのうちに悪意のあるサイトの捕虜にならないようにしなければならない.