आईट्यून्स साइट पर Apple.com XSS Exploit मिला

osxdaily सेब

अपडेट करें: ऐप्पल ने शोषण तय कर दिया है!

मुझे लगता है कि यह अपेक्षाकृत तेज़ी से तय हो जाएगा, लेकिन आप यूआरएल पैरामीटर को संशोधित करके Apple.com की आईट्यून्स संबद्ध साइटों के साथ कुछ मजाकिया (और संभावित रूप से डरावनी) चीजें कर सकते हैं। संशोधित Apple.com यूआरएल निम्नानुसार गठित किया गया है:
http://www.apple.com/itunes/affiliates/download/?artistName=OSXDaily.com&thumbnailUrl=http://cdn.osxdaily.com/wp-content/themes/osxdaily-leftalign/img/osxdailylogo2.jpg&itmsUrl=http://www.osxdaily.com&albumName=Best+Mac+Blog+Ever

Apple.com पर XSS शोषण के OSXDaily.com संस्करण के लिए यहां क्लिक करें - यह सुरक्षित है, यह केवल उपरोक्त स्क्रीनशॉट में क्या दिखाता है।

आप टेक्स्ट और छवि लिंक को बदलकर यूआरएल में जो कुछ भी चाहते हैं उसे डाल सकते हैं, जिसके कारण ऐप्पल की आईट्यून्स वेबसाइट के कुछ बेहद हास्यास्पद हैक किए गए संस्करण सामने आए हैं। अन्य उपयोगकर्ताओं ने अन्य साइटों के आईफ्रेम के माध्यम से अन्य वेबपृष्ठों, जावास्क्रिप्ट, और फ्लैश सामग्री को शामिल करने में सक्षम होने के लिए यूआरएल को और संशोधित किया है, जो सभी प्रकार की समस्याओं के लिए दरवाजा खोलता है। इस बिंदु पर यह केवल मजाकिया है क्योंकि किसी ने भी घृणास्पद उद्देश्यों के लिए इसका उपयोग नहीं किया है, लेकिन अगर छेद बहुत लंबे समय तक खुला रहता है तो कोई आश्चर्य नहीं करता है। ओएस एक्स डेली रीडर मार्क ने इस टिप को एक संशोधित लिंक के साथ भेजा जिसने पॉपअप विंडोज़ की एक श्रृंखला खोली और स्वामित्व वाली सामग्री से कम प्रदर्शन करने वाले आईफ्रेम को स्पष्ट किया (हालांकि हैक किया गया) Apple.com ब्रांडिंग, और यह बिल्कुल ठीक है चीज जो टालना चाहिए। आइए आशा करते हैं कि ऐप्पल इसे जल्दी से ठीक कर देगा।

यहां कुछ और स्क्रीनशॉट दिखाए गए हैं जो दिखाते हैं कि कार्रवाई में यूआरएल संशोधन क्या है, जो वंश के लिए संरक्षित है:

windows7 सेब