Apple.com XSS Exploit gevonden op iTunes-site

Update: Apple heeft de exploit verholpen!

Ik stel me voor dat dit relatief snel verholpen zal worden, maar je kunt grappige (en mogelijk enge) dingen doen met de iTunes Affiliate-sites van Apple.com gewoon door de URL-parameters aan te passen. De aangepaste Apple.com-URL bestaat uit:
http://www.apple.com/itunes/affiliates/download/?artistName=OSXDaily.com&thumbnailUrl=http://cdn.osxdaily.com/wp-content/themes/osxdaily-leftalign/img/osxdailylogo2.jpg&itmsUrl=http://www.osxdaily.com&albumName=Best+Mac+Blog+Ever

Klik hier voor de OSXDaily.com-versie van de XSS-exploit op Apple.com - het is veilig, het geeft alleen weer wat er in de bovenstaande schermafbeelding staat.

Je kunt alles in de URL plaatsen door de tekst- en afbeeldingslinks te wijzigen, wat heeft geleid tot enkele extreem grappige gehackte versies van Apple's iTunes-website. Andere gebruikers hebben de URL verder aangepast om andere webpagina's, javascripts en flash-inhoud op te nemen via iFrames van andere sites, wat de deur opent voor allerlei problemen. Op dit moment is het alleen maar grappig omdat niemand het voor schandelijke doeleinden heeft gebruikt, maar als het gat te lang open is, wees dan niet verbaasd als iemand het doet. OS X Dagelijkse lezer Mark stuurde deze tip in met een aangepaste link die een reeks pop-upvensters opende en een iframe had met minder dan smakelijke inhoud, weergegeven onder de schijnbare (hoewel gehackte) Apple.com-branding, en dat is precies het soort ding dat moet worden vermeden. Laten we hopen dat Apple dit snel oplost.

Hier zijn wat meer screenshots die laten zien wat de URL-wijziging in actie is, bewaard voor het nageslacht:

Hier is er een die de grap van Windows 7 verder haalt door een iframe met de Microsoft-site in de inhoud in te voegen:

[Reader-inzending gevonden via Reddit: Apple XSS Exploit - Bedankt Mark! ]