Hacking RSS and Atom Feed Implementations
RSS나 ATOM같은 XML 서비스 사용에 있어서 reader가 web based feed 라면 client역시 충분히 공격받을 수 있습니다
예) no_no_javascript Injection
위와같은 형태로 Javascirpt를 실행하여 불법S/W를 설치하거나, 쿠키등을 훔치게 된다
그럼 아래와 같이 만들면 어떻게 될까요?
대부분의 RSS viewer들은 <를 <로, >를 >로 컨버팅한 후 content를 browser 기반의 component로 실행하기 때문에 위와 같이 변경한다 해도 스크립트는 실행되게 된다
기타 자세한 내용은 첨부파일을 참조하세요 ^^