Apple.com XSS Exploit auf der iTunes-Website gefunden

Update: Apple hat den Exploit behoben!

Ich kann mir vorstellen, dass dies relativ schnell behoben wird, aber Sie können einige lustige (und potenziell beängstigende) Dinge mit den Affiliateseiten von Apple.com tun, indem Sie lediglich die URL-Parameter ändern. Die geänderte Apple.com-URL ist folgendermaßen aufgebaut:
http://www.apple.com/itunes/affiliates/download/?artistName=OSXDaily.com&thumbnailUrl=http://cdn.osxdaily.com/wp-content/themes/osxdaily-leftalign/img/osxdailylogo2.jpg&itmsUrl=http://www.osxdaily.com&albumName=Best+Mac+Blog+Ever

Klicken Sie hier für die OSXDaily.com-Version des XSS-Exploits auf Apple.com - es ist sicher, es zeigt nur, was im obigen Screenshot ist.

Sie können, was Sie wollen, in die URL einfügen, indem Sie die Text- und Bildlinks ändern, was zu einigen extrem witzigen gehackten Versionen von Apples iTunes-Website geführt hat. Andere Benutzer haben die URL weiter modifiziert, um andere Webseiten, Javascripts und Flash-Inhalte über iFrames anderer Websites hinzufügen zu können, was die Tür für alle möglichen Probleme öffnet. An diesem Punkt ist es nur lustig, weil niemand es für ruchlose Zwecke benutzt hat, aber wenn das Loch zu lange offen ist, sei nicht überrascht, wenn es jemand tut. OS X Daily Leser Mark sendete diesen Tipp mit einem modifizierten Link, der eine Reihe von Popup-Fenstern öffnete und einen Iframe aufwies, der weniger als pikanten Inhalt zeigte, der unter dem scheinbaren (obwohl gehackt) Apple.com Branding angezeigt wurde, und genau das ist die Art von Ding, das vermieden werden muss. Hoffen wir, dass Apple das schnell behebt.

Hier sind einige weitere Screenshots, die zeigen, wie die URL-Änderung in Aktion für die Nachwelt erhalten bleibt:

Hier ist einer, der den Witz von Windows 7 noch weiter bringt, indem er einen Iframe mit der Microsoft-Site in den Inhalt einfügt:

[Reader Einreichung über Reddit gefunden: Apple XSS Exploit - Thanks Mark! ]