XSS ఎక్స్‌ప్లోయిట్ Apple iTunes సైట్‌లో కనుగొనబడింది... మళ్లీ

Anonim

అప్‌డేట్: Apple దోపిడీని పరిష్కరించింది, క్రింది లింక్ వంశపారంపర్యంగా భద్రపరచబడింది కానీ ఇకపై అసాధారణంగా ఏదైనా ప్రదర్శించడానికి పని చేయదు.

కొన్ని వారాల క్రితం, Apple.comలో వారి iTunes సైట్‌తో క్రియాశీల XSS ఎక్స్‌ప్లోయిట్ ఉంది. సరే, Apple iTunes సైట్‌లో (ఈ సందర్భంలో UK) మళ్లీ కనుగొనబడిన అదే క్రాస్ సైట్ స్క్రిప్టింగ్ దోపిడీని ఒక టిప్‌స్టర్ మాకు పంపారు.తత్ఫలితంగా, Apple iTunes పేజీలో కొన్ని వినోదభరితమైన వైవిధ్యాలు కనిపిస్తాయి మరియు మళ్లీ కొన్ని చాలా భయపెట్టేవి, ఎగువ స్క్రీన్‌షాట్ వినియోగదారు పేరు మరియు పాస్‌వర్డ్ సమాచారాన్ని అంగీకరించే లాగిన్ పేజీని ప్రదర్శిస్తుంది, ఈ లాగిన్ డేటాను విదేశీ సర్వర్‌లో నిల్వ చేసి, ఆపై పంపుతుంది. మీరు Apple.comకి తిరిగి వెళ్ళు. మాకు పంపిన అత్యంత బాధించే వైవిధ్యం నా మెషీన్‌లో దాదాపు 100 కుక్కీలను నింపడానికి ప్రయత్నించింది, వాటిలో ప్రతిదానిలో పొందుపరిచిన ఫ్లాష్ ఫైల్‌లతో అంతులేని జావాస్క్రిప్ట్ పాప్-అప్‌లను ప్రారంభించింది మరియు దాదాపు 20 ఇతర ఐఫ్‌రేమ్‌లను ఐఫ్రేమ్ చేసింది, ఇవన్నీ నిజంగా భయంకరమైన సంగీతాన్ని ప్లే చేస్తున్నప్పుడు.

XSS సామర్థ్యం గల URL యొక్క సాపేక్షంగా హానిచేయని వైవిధ్యం ఇక్కడ ఉంది, ఇది Google.comని iframes:

http://www.apple.com/uk/itunes/affiliates/download/?artistName=Apple%20%3Cbr/%3E%20%3Ciframe%20src=http%3A//www .google.com/%20width=600%20>

మీ స్వంత సంస్కరణను చేయడానికి ఎక్కువ శ్రమ పడదు. ఏది ఏమైనప్పటికీ, ఆపిల్ దీన్ని త్వరగా పరిష్కరిస్తుందని ఆశిద్దాం.

Tipster “WhaleNinja” ద్వారా పంపబడిన మరికొన్ని స్క్రీన్‌షాట్‌లు జోడించబడ్డాయి

XSS ఎక్స్‌ప్లోయిట్ Apple iTunes సైట్‌లో కనుగొనబడింది... మళ్లీ