Aktualizácia: Apple opravil exploit!

Predstavujem si, že sa to vyrieši relatívne rýchlo, ale s pridruženými stránkami iTunes Apple.com môžete robiť niekoľko zábavných (a potenciálne strašidelných) vecí len úpravou parametrov adresy URL. Upravená adresa URL Apple.com je vytvorená takto: http://www.apple.com/itunes/affiliates/download/?artistName=OSXDaily.com&thumbnailUrl=https://cdn.osxdaily.com/wp-content/themes/osxdaily-leftalign/img/osxdailylogo2.jpg&itmsUrl=https://osxdaily.com&albumName=Best+Mac+Blog+Ever

Kliknite sem pre OSXDaily.com verziu zneužitia XSS na Apple.com – je bezpečná, zobrazuje len to, čo je na vyššie uvedenej snímke obrazovky.

Do adresy URL môžete vložiť, čo chcete, zmenou textových a obrázkových odkazov, čo viedlo k mimoriadne vtipným napadnutým verziám webovej stránky iTunes spoločnosti Apple. Iní používatelia ďalej upravili URL, aby mohli zahrnúť ďalšie webové stránky, javascripty a flashový obsah cez iFrame iných stránok, čo otvára dvere pre všetky druhy problémov. V tomto bode je to len smiešne, pretože to nikto nepoužil na hanebné účely, ale ak je diera otvorená príliš dlho, nečudujte sa, že niekto áno. Čitateľ OS X Daily Mark poslal tento tip s upraveným odkazom, ktorý otvoril sériu vyskakovacích okien a mal iframe zobrazujúci menej než pikantný obsah, zobrazený pod zjavným (hoci napadnutým) Apple.com branding, a to je presne tá vec, ktorej sa treba vyhnúť. Dúfajme, že to Apple rýchlo opraví.

Tu je niekoľko ďalších snímok obrazovky, ktoré ukazujú, ako funguje úprava adresy URL, zachovaná pre budúce generácie:

Tu je jeden, ktorý posúva vtip so systémom Windows 7 ešte ďalej vložením prvku iframe so stránkou Microsoft do obsahu: