Aktualizace: Apple opravil exploit!

Předpokládám, že se to vyřeší relativně rychle, ale s přidruženými weby iTunes Apple.com můžete dělat legrační (a potenciálně děsivé) věci jen úpravou parametrů URL. Upravená adresa URL Apple.com je vytvořena následovně: http://www.apple.com/itunes/affiliates/download/?artistName=OSXDaily.com&thumbnailUrl=https://cdn.osxdaily.com/wp-content/themes/osxdaily-leftalign/img/osxdailylogo2.jpg&itmsUrl=https://osxdaily.com&albumName=Best+Mac+Blog+Ever

Klikněte sem pro verzi OSXDaily.com exploitu XSS na Apple.com – je bezpečná, zobrazuje pouze to, co je na výše uvedeném snímku obrazovky.

Do adresy URL můžete vložit, co chcete, změnou textových a obrázkových odkazů, což vedlo k extrémně vtipným hacknutým verzím webu Apple iTunes. Jiní uživatelé dále upravili URL, aby mohli zahrnout další webové stránky, javascripty a flashový obsah prostřednictvím iFrame jiných stránek, což otevírá dveře pro nejrůznější problémy. V tuto chvíli je to jen legrační, protože to nikdo nepoužil pro hanebné účely, ale pokud je díra otevřená příliš dlouho, nebuďte překvapeni, když to někdo udělá. Čtenář OS X Daily Mark poslal tento tip s upraveným odkazem, který otevřel řadu vyskakovacích oken a měl iframe zobrazující méně než pikantní obsah, zobrazený pod zjevným (i když hacknutým) Applem.com branding, a to je přesně ta věc, které je třeba se vyhnout. Doufejme, že to Apple rychle napraví.

Zde je několik dalších snímků obrazovky, které ukazují, jak je modifikace adresy URL v akci, zachována pro budoucí generace:

Tento vtip posouvá Windows 7 ještě dále tím, že do obsahu vložíte prvek iframe s webem Microsoft: