Ažuriranje: Apple je popravio exploit!

Pretpostavljam da će se to popraviti relativno brzo, ali možete raditi neke smiješne (i potencijalno zastrašujuće) stvari s Apple.com-ovim iTunes Affiliate stranicama samo mijenjanjem URL parametara. Modificirani Apple.com URL formira se na sljedeći način: http://www.apple.com/itunes/affiliates/download/?artistName=OSXDaily.com&thumbnailUrl=https://cdn.osxdaily.com/wp-content/themes/osxdaily-leftalign/img/osxdailylogo2.jpg&itmsUrl=https://osxdaily.com&albumName=Best+Mac+Blog+Ever

Kliknite ovdje za OSXDaily.com verziju eksploatacije XSS na Apple.com – sigurna je, samo prikazuje ono što je na gornjoj snimci zaslona.

Možete staviti što god želite u URL mijenjajući tekstualne i slikovne veze, što je dovelo do nekih iznimno smiješnih hakiranih verzija Appleove web stranice iTunes. Drugi su korisnici dodatno modificirali URL kako bi mogli uključiti druge web-stranice, javascripte i flash sadržaj putem iFramesa drugih web-mjesta, što otvara vrata svim vrstama problema. U ovom trenutku to je samo smiješno jer ga nitko nije koristio u opake svrhe, ali ako je rupa predugo otvorena, nemojte se iznenaditi ako netko to učini. Čitatelj OS X Dailyja Mark poslao je ovaj savjet s modificiranom vezom koja je otvorila niz skočnih prozora i imala iframe koji prikazuje manje ukusan sadržaj, prikazan ispod očiglednog (iako hakiranog) Applea.com brendiranje, a to je upravo ono što treba izbjegavati. Nadajmo se da će Apple ovo brzo riješiti.

Evo još nekoliko snimaka zaslona koji pokazuju što je izmjena URL-a na djelu, sačuvanih za budućnost:

Evo jednog koji šalu sa sustavom Windows 7 još više razvija umetanjem iframea s Microsoftovim mjestom u sadržaj: