RSS – tai puiki technologija skirta greitai gauti informaciją apie įvykius pasaulyje ir IT sferoje į savo kompiuterį. Tai taip pat yra nuostabus įrankis įsilaužėliams pateikiant savo atakas.
Las Vegase vykusioje konferencijoje „Black Hat 2006” Robert Auger pateikė faktus apie RSS ir ATOM sąsajų pažeidžiamumų išnaudojimą. Jis testavo tiek tinklalapiuose, tiek pas vartotoją sistemoje esančius RSS skaitytuvus. Abiejose jis rado įvairių pažeidžiamumų. Jų išnaudojimo galimybės labai įvairios – nuo vartotojo sausainukų (angl. cookies) vagystės iki kodo vykdymo nutolusioje sistemoje.
Auger pranešime buvo aptarti du sąsajų išnaudojimo blogiems tikslams būdai. Pirmas būtų toks, kad pats sąsajos sąvininkas tiesiogiai įterpia kenksmingą kodą. Na tai nebūtų pats populiariausias variantas žinoma. Taigi Auger pasiūlė tokį kitą būdą. Užuot laužiant patį tinklalapį, piktavalis žmogus galėtų įterpti ataką į sąsają pavyzdžiui pats įrašęs naujieną. Taip jis gautų priėjimą prie visų to portalo lankytojų, kas žinoma yra naudingiau ir ko pasekoje būtų galima gauti priėjimą ir prie pačio serverio. Turint omenyje, kad ir portalo šeimininkai naudojasi to portalo sąsajomis.
Tinklalapiuose („web-based”) esančiuose RSS skaitytuvuose dažnai būna galimybė įvykdyti SQL injekciją, taip pat kodo įterpimo ar atsisakymo aptarnauti atakas.
Pranešime buvo pažymėta, kad daugelis vartotojo kompiuteryje veikiančių skaitytuvų labai nesunkiai atiduoda priėjimą prie vartotojo sistemos. Yra leidžiama vykdyti kodą, taigi iškyla grėsmė vartotojo privatiems duomenims, vidiniam tinklui ir t.t.
Tarp pažeidžiamų vartotojo sistemoje veikiančių skaitytuvų buvo paminėti RSS Reader, RSS Owl, Feed Demon ir Sharp Reader. Taigi laukite jų atnaujinimų.