potu周博通-资讯阅读器2.0(26060619)XSS漏洞

周博通是目前最流行的免费RSS阅读器之一，界面友好，分类清晰，操作简单．内置新浪网、新华网、天极网、计世网等数百个RSS新闻源，不用打开网页就可第一时间阅读自己喜欢的新闻。 

CDATA部件在XML里： 

If your text contains a lot of "<" or "&" characters - as program code often does - the XML element can be defined as a CDATA section. 
如果文本包含了很多的"<"字符和"&"字符——就象程序代码一样，那么最好把他们都放到CDATA部件中。 
everything inside the CDATA section is ignored by the parser.所有在CDATA部件之间的文本都会被解析器忽略。 

而potu却自作聪明，把代码转换成了html，然后再从他自带的浏览器中打开。 

C:\Program Files\zhoubotong\RssReader\Common\temphtmlb.htm 

看起来很方面，却忽略了一些安全因素。 
比如这个CDATA，转换的时候，并没有做任何处理。导致了xss漏洞。 

现在我在blog里回复了一条xss语句。（刚好师父的blog里面有这个语句大全,所以。。。） 

因为本来订阅文章那里是用户订阅的。 
http://promise.cnxhacker.com/blog/feed.asp 

而文章那里的rss只能是师父可以编辑，我们能编辑只能是回复的rss。 
http://promise.cnxhacker.com/blog/feed.asp?q=comment 

刚好，这个回复的通常只有blog的主人会去浏览。