Päivitys: Apple on korjannut hyväksikäytön, alla oleva linkki säilytetään jälkipolville, mutta se ei enää näytä mitään epänormaalia.

Muutama viikko sitten Apple.comissa oli aktiivinen XSS Exploit heidän iTunes-sivustollaan. No, vihjeiden tarjoaja lähetti meille täsmälleen saman sivustojen välisen komentosarjan hyväksikäytön, joka löytyi jälleen Apple iTunes -sivustolta (tässä tapauksessa Iso-Britannia).Tämän seurauksena Applen iTunes-sivusta ilmestyy joitain varsin hauskoja muunnelmia, ja taas joitain erittäin pelottavia, sillä yllä oleva kuvakaappaus näyttää kirjautumissivun, joka hyväksyy käyttäjätunnuksen ja salasanan, tallentaa nämä kirjautumistiedot vieraalle palvelimelle ja lähettää sitten palaat Apple.com-sivustolle. Ärsyttävin meille lähetetty muunnelma yritti täyttää noin 100 evästettä koneelleni, käynnisti loputtoman silmukan javascript-ponnahdusikkunoita, joissa jokaiseen oli upotettu Flash-tiedostoja, ja iframes noin 20 muuta iframe-kehystä, kaikki samalla kun soitti todella kauheaa musiikkia.

Tässä on suhteellisen vaaraton muunnelma XSS-yhteensopivasta URL-osoitteesta, se on iframes Google.com:

http://www.apple.com/uk/itunes/affiliates/download/?artistName=Apple%20%3Cbr/%3E%20%3Ciframe%20src=http%3A//www .google.com/%20width=600%20>

Oman version tekeminen ei vaadi paljon vaivaa. Toivotaan joka tapauksessa, että Apple korjaa tämän nopeasti.

Liitteenä on vielä muutama kuvakaappaus linkeistä, jotka on lähettänyt vinkkaaja “WhaleNinja” (kiva nimi muuten)