تحديث:لقد أصلحت Apple الاستغلال ، تم الاحتفاظ بالرابط أدناه للأجيال القادمة ولكنه لم يعد يعمل لعرض أي شيء غير طبيعي.

قبل بضعة أسابيع ، كان هناك XSS Exploit نشط على Apple.com من خلال موقع iTunes الخاص بهم. حسنًا ، أرسل لنا المرشد نفس استغلال البرمجة النصية عبر المواقع الذي تم العثور عليه مرة أخرى على موقع Apple iTunes (المملكة المتحدة في هذه الحالة).نتيجة لذلك ، هناك بعض الاختلافات المسلية لصفحة Apple iTunes التي تظهر ، ومرة ​​أخرى بعض الأنواع المخيفة للغاية ، حيث توضح لقطة الشاشة أعلاه صفحة تسجيل الدخول التي تقبل معلومات اسم المستخدم وكلمة المرور ، وتخزن بيانات تسجيل الدخول هذه على خادم أجنبي ، ثم ترسل عدت إلى Apple.com. حاول الشكل الأكثر إزعاجًا الذي تم إرساله إلينا وضع حوالي 100 ملف تعريف ارتباط على جهازي ، وأطلق حلقة لا نهائية من النوافذ المنبثقة جافا سكريبت مع ملفات فلاش مدمجة في كل منها ، وأطر حوالي 20 إطارًا آخر من إطارات iframe ، كل ذلك أثناء تشغيل بعض الموسيقى الفظيعة حقًا.

إليك تنوع غير ضار نسبيًا لعنوان URL الذي يدعم XSS ، فهو عبارة عن إطارات Google.com:

http: //www.apple.com/uk/itunes/affiliates/download/؟ artistName=Apple٪ 20٪ 3Cbr /٪ 3E٪ 20٪ 3Ciframe٪ 20src=http٪ 3A // www .google.com /٪ 20width=600٪ 20>

لا يتطلب الأمر الكثير من الجهد لإنشاء نسختك الخاصة. على أي حال ، دعونا نأمل أن تصلح Apple هذا بسرعة.

مرفق عدد قليل من لقطات الشاشة للروابط المرسلة من طرف "WhaleNinja" (اسم رائع بالمناسبة)