Update: Apple ir novērsis ļaunprātīgu izmantošanu, tālāk esošā saite ir saglabāta pēctečiem, bet vairs nedarbojas, lai parādītu neko neparastu.

Pirms dažām nedēļām vietnē Apple.com ar viņu iTunes vietni bija aktīvs XSS Exploit. Padomdevējs mums nosūtīja tieši tādu pašu starpvietņu skriptu izmantošanu, kas atkal tika atrasta Apple iTunes vietnē (šajā gadījumā Apvienotajā Karalistē).Rezultātā parādās dažas diezgan amizantas Apple iTunes lapas variācijas un atkal dažas ļoti biedējošas, jo augstāk redzamajā ekrānuzņēmumā ir parādīta pieteikšanās lapa, kas pieņem lietotājvārda un paroles informāciju, saglabā šos pieteikšanās datus svešā serverī un pēc tam nosūta jūs atgriezīsities vietnē Apple.com. Viskaitinošākā mums nosūtītā variācija mēģināja manā datorā ievietot apmēram 100 sīkfailus, uzsāka nebeidzamu JavaScript uznirstošo logu cilpu ar katrā no tiem iegultiem Flash failiem un iFrame ierāmēja apmēram 20 citus iframe, vienlaikus atskaņojot patiešām šausmīgu mūziku.

Šeit ir salīdzinoši nekaitīgs vietrāža URL variants, kurā var izmantot XSS — tas ir iFrames Google.com:

http://www.apple.com/uk/itunes/affiliates/download/?artistName=Apple%20%3Cbr/%3E%20%3Ciframe%20src=http%3A//www .google.com/%20width=600%20>

Lai izveidotu savu versiju, nav vajadzīgas lielas pūles. Jebkurā gadījumā cerēsim, ka Apple to ātri novērsīs.

Pielikumā ir vēl daži ekrānuzņēmumi ar saitēm, kuras iesūtīts padomu sniedzējs “WhaleNinja” (starp citu, lielisks vārds)