Оновлення: Apple виправила експлойт, наведене нижче посилання збережено для нащадків, але більше не працює, щоб відображати щось ненормальне.

Кілька тижнів тому був активний XSS Exploit на Apple.com з їхнім сайтом iTunes. Що ж, порадник надіслав нам той самий міжсайтовий скриптовий експлойт, який знову знайшли на сайті Apple iTunes (у цьому випадку у Великобританії).У результаті з’являються досить кумедні варіації сторінки Apple iTunes, а також кілька дуже лякаючих, оскільки на знімку екрана вище показано сторінку входу, яка приймає інформацію про ім’я користувача та пароль, зберігає ці дані для входу на сторонньому сервері, а потім надсилає ви повертаєтеся на Apple.com. Найнеприємніший варіант, який нам надіслали, намагався додати близько 100 файлів cookie на мою машину, ініціював нескінченний цикл спливаючих вікон JavaScript із вбудованими Flash-файлами в кожне з них і вставляв в iframe приблизно 20 інших iframe, і все це під час відтворення дійсно жахливої ​​музики.

Ось відносно нешкідливий варіант URL-адреси з підтримкою XSS, це iframes Google.com:

http://www.apple.com/uk/itunes/affiliates/download/?artistName=Apple%20%3Cbr/%3E%20%3Ciframe%20src=http%3A//www .google.com/%20width=600%20>

Щоб створити власну версію, не потрібно багато зусиль. У будь-якому випадку, будемо сподіватися, що Apple швидко виправить це.

Додається ще кілька скріншотів посилань, які надіслав типстер «WhaleNinja» (чудова назва, до речі)