.

数週間前、Apple.com の iTunes サイトでアクティブな XSS エクスプロイトがありました。ある情報提供者から、Apple iTunes サイト (この場合は英国) で見つかったものとまったく同じクロス サイト スクリプティングのエクスプロイトが送られてきました。その結果、表示される Apple iTunes ページにはかなり面白いバリエーションがいくつかあり、また非常に恐ろしいものもあります。上のスクリーンショットは、ユーザー名とパスワード情報を受け入れ、このログイン データを外部サーバーに保存し、次に送信するログイン ページを示しています。 Apple.com に戻ります。私たちに送信された最も迷惑なバリエーションは、私のマシンに約 100 個の Cookie を詰め込もうとし、それぞれに Flash ファイルが埋め込まれた JavaScript ポップアップの無限ループを開始し、約 20 の他の iframe を iframe で処理しながら、すべて本当にひどい音楽を再生していました。

これは比較的無害な XSS 対応 URL のバリエーションで、Google.com を iframe にしています:

http://www.apple.com/uk/itunes/affiliates/download/?artistName=Apple%20%3Cbr/%3E%20%3Ciframe%20src=http%3A//www .google.com/%20width=600%20>

独自のバージョンを作成するのにそれほど労力はかかりません。とにかく、Apple がこれを早急に修正してくれることを祈りましょう。

添付は、情報提供者「WhaleNinja」(ちなみに偉大な名前) によって送信されたリンクのスクリーンショットです