Atnaujinimas: „Apple“ ištaisė išnaudojimą!

Įsivaizduoju, kad tai bus išspręsta gana greitai, bet jūs galite padaryti juokingų (ir galbūt baisių) dalykų naudodami Apple.com iTunes filialo svetaines tiesiog pakeisdami URL parametrus. Modifikuotas Apple.com URL formuojamas taip: http://www.apple.com/itunes/affiliates/download/?artistName=OSXDaily.com&thumbnailUrl=https://cdn.osxdaily.com/wp-content/themes/osxdaily-leftalign/img/osxdailylogo2.jpg&itmsUrl=https://osxdaily.com&albumName=Best+Mac+Blog+Ever

Spustelėkite čia, kad pamatytumėte OSXDaily.com XSS išnaudojimo versiją Apple.com – ji saugu, tik rodo, kas yra aukščiau esančioje ekrano kopijoje.

Pakeisdami teksto ir vaizdų nuorodas galite įdėti ką tik norite, todėl atsirado keletas itin juokingų nulaužtų Apple iTunes svetainės versijų. Kiti vartotojai toliau modifikavo URL, kad galėtų įtraukti kitus tinklalapius, „Javascript“ ir „flash“ turinį per kitų svetainių „iFrames“, o tai atveria duris visoms problemoms. Šiuo metu tai tik juokinga, nes niekas jo nenaudojo niekšiškiems tikslams, bet jei skylė atsivėrė per ilgai, nenustebkite, jei kas nors tai padarys. OS X Daily skaitytojas Markas atsiuntė šį patarimą su pakeista nuoroda, kuri atidarė iššokančiųjų langų seriją ir turėjo „iframe“, kuriame buvo rodomas mažiau nei pikantiškas turinys, rodomas po akivaizdžiai (nors nulaužtu) „Apple“.com prekės ženklą, ir būtent to reikia vengti. Tikėkimės, kad „Apple“ greitai tai ištaisys.

Štai keletas ekrano kopijų, rodančių, kaip veikia URL modifikacija, išsaugota palikuonims:

Štai vienas iš „Windows 7“ pokštų dar labiau išplečia, į turinį įterpdamas iframe su „Microsoft“ svetaine: