在Black Hat大会之后,RSS订阅的潜在攻击问题浮出水面,微软阐述了它们为减少这种情况的发生说采取的措施。
RSS提供了一些相对email具有独特优势的功能,它减少了垃圾邮件/信息的产生。
一份订阅也会危机安全,在Black
Hat上黑客们讨论了这个问题,它们可以使用恶意有效荷载几乎瞬时即可攻击成千上万的订阅者。
其中,可以通过SQL注入、命令执行和Dos攻击进行攻击。同时,微软想通过采取一些措施减小这种情况的发生。
在RSS Blog组中,微软的Walter vonKoch谈到了微软已经注意到了IE7和Windows RSS平台的潜在问题,它们已经在处理订阅中的脚本威胁。
RSS平台会从一份订阅的HTML区域对脚本进行清除操作,而不会暴露来自原始表单的威胁。
在IE7中,不论订阅来自何方,订阅视图在显示过程中都运行在受限区域。而受限区域中是禁止脚本的,以及可能通过自发内容触发的URL行为。
来源:appbeta
