我试图鼓励一个组织修复他们的 RSS 提要,该提要在源文本中的引号和标签在提要阅读器中的显示方式方面存在许多问题。我希望能够告诉他们,他们的提要对读者构成安全风险,因为我认为这可能会引起他们的注意。
以下是我记录的一些问题:
有时帖子会变得如此混乱,以至于我得到一页又一页的垃圾。
我已经在 Windows 和 Mac 系统上测试了几个提要阅读器,并且问题出现在所有测试中。在源页面上查看时,相同的材料看起来不错。
假设答案是肯定的,那么风险会如何影响用户?
由于您所描述的人们能够将标签注入提要的地方,格式错误的 HTML可能会使用户面临很多事情的风险。
- 随机 HTML 标记
- 缺少字符,有时包括整个段落
- 引号字符几乎从不出现(尤其是撇号)
- 单词之间缺少空格
这是输入卫生的结果,它本质上是不安全的、有缺陷的并且不值得任何人花时间,加上缺乏准备好的语句,这意味着 Web 应用程序很容易受到攻击。输出卫生是这里的答案。
让我重复一下Mark C. Wallace,“一页又一页的垃圾 = 未能正确交付内容 = 失去完整性和可用性 = 安全风险。潜在的额外后果。”
假设答案是肯定的,那么风险会如何影响用户?
这是一个非常危险的问题 它如何影响用户?有多种方式:
code tags您客户的网站:<% %>、<?php ?>等,这可以完全破坏几乎所有内容。 就其本身而言,格式错误的 HTML 可能不会让他们的用户面临任何风险,只会对业余、丑陋的提要产生反感。这可能是由自动 Word-to-HTML 或 PDF-to-HTML 转换器引起的,但它们本身不会给读者带来风险。
他们是否在提要中包含用户提交的数据?如果是这样,他们可能会使他们的用户遭受 CSRF 或 XSS 攻击。或者他们可能容易受到脚本注入的影响。但如果是这样,无论 HTML 的其余部分是否格式正确,这些都可能是漏洞。他们不测试他们的提要或不关心他们的形象这一事实可能会给他们的客户留下他们不关心其他问题(如安全或数据安全)的印象;但这不是疏忽的证据。
除非您有更具体的漏洞证据,否则不要将“安全性”用作大棒。相反,让他们知道他们的公司形象很差。当你提高赌注时,你可以说“如果你不关心这个,我为什么要相信你关心其他事情,比如我的数据安全?” 如果他们仍然什么都不做,我建议你在别处寻找你的热门新闻来源。还有数以百万计的其他网站,其中一些可能会更好地为您服务。