Si una fuente RSS maneja las comillas y las etiquetas HTML de forma incorrecta, ¿puede considerarse un riesgo para la seguridad?

Navega tus respuestas
6

Estoy tratando de alentar a una organización a que arregle su fuente RSS, que tiene numerosos problemas con la forma en que se muestran las comillas y etiquetas en el texto de origen en los lectores de fuentes. Me gustaría poder decirles que su alimentación constituye un riesgo de seguridad para los lectores, porque creo que eso podría llamar su atención.

Estos son algunos de los problemas que he documentado:

  • caracteres extendidos espurios
  • piezas de marcado HTML aleatorio
  • caracteres faltantes, incluidos párrafos enteros a veces
  • los caracteres de la cita casi nunca aparecen (especialmente los apóstrofes)
  • espacios que faltan entre palabras

A veces, una publicación estará tan desordenada que aparece página tras página de basura.

He probado varios lectores de feeds, en sistemas Windows y Mac, y los problemas aparecieron en todas las pruebas. El mismo material se ve bien cuando se ve en la página de origen.

Suponiendo que la respuesta es sí, ¿cómo podría afectar el riesgo a los usuarios?

    
pregunta boot13 21.12.2015 - 14:03
fuente

2 respuestas

3

HTML con formato incorrecto, debido a lo que describe donde las personas pueden inyectar etiquetas en la fuente, puede poner a los usuarios en riesgo de bastantes cosas.

  
  • piezas de marcado HTML aleatorio
    •   
  • caracteres faltantes, incluidos párrafos enteros a veces
    •   
  • los caracteres de la cita casi nunca aparecen (especialmente los apóstrofes)
    •   
  • espacios que faltan entre palabras
    •   

Este es el resultado del saneamiento de entrada, que es intrínsecamente inseguro, defectuoso y no vale la pena para nadie, además de la falta de declaraciones preparadas, lo que significa que la aplicación web es vulnerable. El saneamiento de salida es la respuesta aquí.

Permítame repetir Mark C. Wallace , "página tras página de basura = falla en la entrega de contenido correctamente = pérdida de integridad y disponibilidad = riesgo de seguridad. Posiblemente consecuencias adicionales".

  

Suponiendo que la respuesta es sí, ¿cómo podría afectar el riesgo a los usuarios?

Este es un problema realmente peligroso. ¿Cómo puede afectar a los usuarios? Hay múltiples maneras:

  1. Inyección de JavaScript malicioso, flash, java, etc., en las páginas de su usuario.
  2. Inyección de contenido que dirige a los usuarios a sitios web de malware
  3. Inyección de code tags en el sitio web de su cliente: <% %> , <?php ?> , etc., que permite una violación completa de casi todo.
respondido por el Mark Buffalo 21.12.2015 - 18:29
fuente
3

Por sí mismo, es probable que el HTML mal formado no ponga a sus usuarios en riesgo de otra cosa que no sea desarrollar una aversión a un feo aficionado o feo. Probablemente es causado por un convertidor automatizado de Word a HTML o de PDF a HTML, pero por sí mismos no crearán riesgos para sus lectores.

¿Incluyen datos enviados por el usuario en su feed? Si es así, podrían someter a sus usuarios a un ataque CSRF o XSS. O podrían ser susceptibles a la inyección de guiones. Pero si es así, podrían ser vulnerabilidades independientemente de si el resto de su HTML está bien formado o no. El hecho de que no prueben sus feeds o se preocupe por su imagen puede dar a sus clientes la impresión de que no les importan otros temas como la seguridad o la seguridad de los datos; pero no es prueba de negligencia.

No use la 'seguridad' como un bastón a menos que tenga pruebas más concretas de una vulnerabilidad. En su lugar, hágales saber que la imagen de su compañía se está mostrando mal. Cuando aumentas las apuestas, puedes decir "si no te importa esto, ¿por qué debería creer que te importan otras cosas, como la seguridad de mis datos?" Si aún no hacen nada, le sugiero que busque en otro lugar su fuente de noticias de actualidad. Hay millones de otros sitios web, algunos de los cuales podrían servirle mejor.

    
respondido por el John Deters 21.12.2015 - 18:11
fuente

Lea otras preguntas en las etiquetas

Apple vs DOJ: ¿qué tan fuerte es la barrera de fuerza bruta de barrido de 10 intentos? ¿Cómo abordan los pentesters el ataque a 2FA (autenticación de dos factores)?