अपडेट: ऐप्पल ने शोषण को ठीक कर दिया है, नीचे दिए गए लिंक को भविष्य के लिए संरक्षित किया गया है लेकिन अब असामान्य कुछ भी प्रदर्शित करने के लिए काम नहीं करता है।

कुछ हफ़्ते पहले, Apple.com पर उनकी iTunes साइट के साथ एक सक्रिय XSS एक्सप्लॉइट था। ठीक है, एक टिपस्टर ने हमें ठीक वही क्रॉस साइट स्क्रिप्टिंग एक्सप्लॉइट भेजा जो Apple iTunes साइट (इस मामले में यूके) पर फिर से मिला।परिणामस्वरूप, Apple iTunes पृष्ठ के कुछ बल्कि मनोरंजक रूप दिखाई दे रहे हैं, और फिर से कुछ बहुत ही भयावह हैं, जैसा कि उपरोक्त स्क्रीनशॉट एक लॉगिन पृष्ठ प्रदर्शित करता है जो उपयोगकर्ता नाम और पासवर्ड की जानकारी को स्वीकार करता है, इस लॉगिन डेटा को एक विदेशी सर्वर पर संग्रहीत करता है, फिर भेजता है आप वापस Apple.com पर जाएं। हमें भेजे गए सबसे कष्टप्रद बदलाव ने मेरी मशीन पर लगभग 100 कुकीज़ को भरने की कोशिश की, उनमें से प्रत्येक में फ्लैश फाइलों के साथ जावास्क्रिप्ट पॉप-अप का एक अंतहीन लूप शुरू किया, और लगभग 20 अन्य iframes को आइफ्रेम किया, सभी वास्तव में कुछ भयानक संगीत बजाते हुए।

यहां XSS सक्षम URL का अपेक्षाकृत हानिरहित रूपांतर है, यह Google.com को आइफ्रेम करता है:

http://www.apple.com/uk/itunes/affiliates/download/?artistName=Apple%20%3Cbr/%3E%20%3Ciframe%20src=http%3A//www .google.com/%20चौड़ाई=600%20>

अपना संस्करण बनाने में ज्यादा मेहनत नहीं लगती। फिर भी, आशा करते हैं कि Apple इसे जल्दी ठीक कर देगा।

टिप्पस्टर "WhaleNinja" द्वारा भेजे गए लिंक के कुछ और स्क्रीनशॉट संलग्न हैं (वैसे महान नाम)