Cập nhật: Apple đã sửa lỗi khai thác, liên kết bên dưới được lưu giữ cho hậu thế nhưng không còn hoạt động để hiển thị bất kỳ điều gì bất thường.

Một vài tuần trước, đã có một hoạt động Khai thác XSS trên Apple.com với trang iTunes của họ. Chà, một người mách nước đã gửi cho chúng tôi cùng một cách khai thác tập lệnh chéo trang được tìm thấy lại trên trang Apple iTunes (trong trường hợp này là Vương quốc Anh).Kết quả là, có một số biến thể khá thú vị của trang Apple iTunes xuất hiện, và một số biến thể rất đáng sợ, như ảnh chụp màn hình ở trên cho thấy một trang đăng nhập chấp nhận thông tin tên người dùng và mật khẩu, lưu trữ dữ liệu đăng nhập này trên một máy chủ nước ngoài, sau đó gửi đi. bạn quay lại Apple.com. Biến thể khó chịu nhất được gửi cho chúng tôi đã cố gắng nhét khoảng 100 cookie vào máy của tôi, bắt đầu một vòng lặp vô tận các cửa sổ bật lên javascript với các tệp Flash được nhúng trong mỗi cookie và tạo khung nội tuyến cho khoảng 20 khung nội tuyến khác, tất cả trong khi phát một số bản nhạc thực sự khủng khiếp.

Đây là một biến thể tương đối vô hại của URL có khả năng XSS, nó đặt khung nội tuyến cho Google.com:

http://www.apple.com/uk/itunes/affiliates/download/?artistName=Apple%20%3Cbr/%3E%20%3Ciframe%20src=http%3A//www .google.com/%20width=600%20>

Làm phiên bản của riêng bạn không tốn nhiều công sức. Dù sao đi nữa, hãy hy vọng Apple sẽ khắc phục sự cố này nhanh chóng.

Đính kèm là một vài ảnh chụp màn hình khác của các liên kết được gửi bởi người mách nước “WhaleNinja” (nhân tiện, đây là một cái tên hay)