Atnaujinti: „Apple“ ištaisė išnaudojimą, toliau pateikta nuoroda yra išsaugota palikuonims, bet nebeveikia, kad būtų rodoma nieko neįprasto.

Prieš kelias savaites Apple.com buvo aktyvus XSS Exploit su jų iTunes svetaine. Na, patarėjas atsiuntė mums lygiai tą patį kelių svetainių scenarijų išnaudojimą, kuris vėl buvo aptiktas Apple iTunes svetainėje (šiuo atveju JK).Dėl to atsiranda keletas gana juokingų Apple iTunes puslapio variantų ir vėl labai bauginančių, nes aukščiau esančioje ekrano nuotraukoje parodytas prisijungimo puslapis, kuris priima vartotojo vardo ir slaptažodžio informaciją, išsaugo šiuos prisijungimo duomenis svetimame serveryje, tada siunčia grįšite į Apple.com. Labiausiai erzinantis variantas, atsiųstas mums, bandė į mano mašiną įkišti apie 100 slapukų, inicijavo begalinį „Javascript“ iššokančiųjų langų ciklą su kiekviename iš jų įterptais „Flash“ failais ir „iframed“ apie 20 kitų „iframe“ rėmelių, tuo pačiu leisdama tikrai siaubingą muziką.

Štai gana nekenksmingas XSS palaikančio URL variantas, kuriame yra „iframes“ Google.com:

http://www.apple.com/uk/itunes/affiliates/download/?artistName=Apple%20%3Cbr/%3E%20%3Ciframe%20src=http%3A//www .google.com/%20width=600%20>

Nereikia daug pastangų, kad sukurtumėte savo versiją. Bet kokiu atveju, tikėkimės, kad „Apple“ tai greitai ištaisys.

Pridedame dar keletą nuorodų ekrano kopijų, kurias atsiuntė patarėjas „WhaleNinja“ (beje, puikus vardas)