Apple.com XSS Exploit обнаружен на сайте iTunes

osxdaily яблоко

Обновить: Apple исправила эксплойт!

Я полагаю, что это будет исправлено относительно быстро, но вы можете делать некоторые забавные (и потенциально пугающие) вещи с сайтами Apple.com для партнеров iTunes, просто изменив параметры URL. Измененный URL-адрес Apple.com формируется следующим образом:
http://www.apple.com/itunes/affiliates/download/?artistName=OSXDaily.com&thumbnailUrl=https://cdn.osxdaily.com/wp-content/themes/osxdaily-leftalign/img/osxdailylogo2.jpg&itmsUrl=https://osxdaily.com&albumName=Best+Mac+Blog+Ever

Щелкните здесь, чтобы просмотреть версию XSS-эксплойта для OSXDaily.com на Apple.com — это безопасно, просто отображается то, что показано на скриншоте выше.

Вы можете поместить все, что хотите, в URL-адрес, изменив текстовые и графические ссылки, что привело к очень забавным взломанным версиям веб-сайта Apple iTunes. Другие пользователи дополнительно изменили URL-адрес, чтобы иметь возможность включать другие веб-страницы, javascripts и флэш-контент через iFrames других сайтов, что открывает дверь для всех видов проблем. На данный момент это только забавно, потому что никто не использовал это в гнусных целях, но если дыра открыта слишком долго, не удивляйтесь, если кто-то это сделает. Читатель OS X Daily Марк прислал этот совет с измененной ссылкой, которая открывала серию всплывающих окон и имела iframe, отображающий менее привлекательный контент, отображаемый под очевидным (хотя и взломанным) брендом Apple.com, и это именно то вещь, которой нужно избегать. Будем надеяться, что Apple исправит это быстро.

Вот еще несколько скриншотов, показывающих, как действует модификация URL, сохранившаяся для потомков:

windows7 яблоко

Вот еще одна шутка о Windows 7, в которой вставлен iframe с сайтом Microsoft:
iframe яблоко

[ Reader submission found via Reddit: Apple XSS Exploit – Thanks Mark! ]

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован.