Apple.com XSS Exploit trouvé sur le site iTunes
Mise à jour: Apple a corrigé l'exploit!
J'imagine que cela sera corrigé assez rapidement, mais vous pouvez faire des choses amusantes (et potentiellement effrayantes) avec les sites iTunes Affiliate d'Apple.com en modifiant simplement les paramètres d'URL. L'URL Apple.com modifiée est formée comme suit: http://www.apple.com/itunes/affiliates/download/?artistName=OSXDaily.com&thumbnailUrl=http://cdn.osxdaily.com/wp-content/themes/osxdaily-leftalign/img/osxdailylogo2.jpg&itmsUrl=http://www.osxdaily.com&albumName=Best+Mac+Blog+Ever
Cliquez ici pour la version OSXDaily.com de l'exploit XSS sur Apple.com - il est sûr, il affiche juste ce qui est dans la capture d'écran ci-dessus.
Vous pouvez mettre tout ce que vous voulez dans l'URL en changeant les liens texte et image, ce qui a conduit à des versions piratées extrêmement amusantes du site iTunes d'Apple. D'autres utilisateurs ont encore modifié l'URL pour pouvoir inclure d'autres pages Web, javascripts et contenus flash via des iFrames d'autres sites, ce qui ouvre la porte à toutes sortes de problèmes. À ce stade, ce n'est que drôle parce que personne ne l'a utilisé à des fins malveillantes, mais si le trou est ouvert depuis trop longtemps ne soyez pas surpris si quelqu'un le fait. OS X Daily lecteur Mark a envoyé cette astuce avec un lien modifié qui a ouvert une série de fenêtres contextuelles et avait un iframe affichant moins de contenu savoureux, affiché sous la marque Apple.com apparente (bien que piraté), et c'est exactement le genre de chose qui doit être évitée. Espérons qu'Apple corrige cela rapidement.
Voici d'autres captures d'écran montrant ce que la modification d'URL en action, préservée pour la postérité:
En voici une qui pousse encore plus loin la blague de Windows 7 en insérant un iframe avec le site Microsoft dans le contenu:
[Soumission du lecteur trouvée via Reddit: Apple XSS Exploit - Merci Mark! ]