Актуализация: Apple поправи експлойта, връзката по-долу е запазена за бъдещето, но вече не работи, за да показва нещо необичайно.

Преди няколко седмици имаше активен XSS Exploit на Apple.com с техния сайт iTunes. Е, един съветник ни изпрати точно същия скриптов експлойт между сайтове, намерен отново на сайта на Apple iTunes (Великобритания в този случай).В резултат на това се появяват някои доста забавни варианти на страницата на Apple iTunes и отново някои много плашещи, тъй като екранната снимка по-горе демонстрира страница за вход, която приема информация за потребителско име и парола, съхранява тези данни за вход на чужд сървър, след което изпраща се връщате към Apple.com. Най-досадната вариация, изпратена до нас, се опита да постави около 100 бисквитки на моята машина, инициира безкраен цикъл от изскачащи прозорци на javascript с Flash файлове, вградени във всеки от тях, и въведе в рамка около 20 други iframe, докато възпроизвежда наистина ужасна музика.

Ето сравнително безвреден вариант на URL с възможност за XSS, той е iframe Google.com:

http://www.apple.com/uk/itunes/affiliates/download/?artistName=Apple%20%3Cbr/%3E%20%3Ciframe%20src=http%3A//www .google.com/%20width=600%20>

Не са необходими много усилия, за да направите своя собствена версия. Както и да е, да се надяваме, че Apple ще поправи това бързо.

Приложени са още няколко екранни снимки на връзки, изпратени от съветника „WhaleNinja“ (между другото страхотно име)