Ažuriranje: Apple je popravio iskorištavanje, poveznica u nastavku sačuvana je za budućnost, ali više ne prikazuje ništa nenormalno.

Prije nekoliko tjedana bio je aktivan XSS Exploit na Apple.com s njihovim iTunes mjestom. Pa, dojavljivač nam je poslao potpuno isti iskorištavanje skriptiranja na više stranica pronađeno na web-mjestu Apple iTunes (UK u ovom slučaju).Kao rezultat toga, pojavljuju se neke prilično zabavne varijacije stranice Apple iTunes, a opet neke vrlo zastrašujuće, budući da gornja snimka zaslona prikazuje stranicu za prijavu koja prihvaća informacije o korisničkom imenu i lozinci, pohranjuje te podatke za prijavu na strani poslužitelj, a zatim šalje vratite se na Apple.com. Najdosadnija varijacija koja nam je poslana pokušala je ubaciti oko 100 kolačića na moje računalo, pokrenula beskonačnu petlju javascript skočnih prozora s Flash datotekama ugrađenim u svaki od njih, i iframeirala oko 20 drugih iframeova, a sve to uz reprodukciju stvarno grozne glazbe.

Evo relativno bezopasne varijante URL-a koji podržava XSS, iframes Google.com:

http://www.apple.com/uk/itunes/affiliates/download/?artistName=Apple%20%3Cbr/%3E%20%3Ciframe%20src=http%3A//www .google.com/%20width=600%20>

Ne treba puno truda da napravite vlastitu verziju. U svakom slučaju, nadajmo se da će Apple ovo brzo riješiti.

U prilogu je još nekoliko snimaka zaslona poveznica koje je poslao tipster “WhaleNinja” (sjajno ime usput)