Loading...Une faille XSS est présente depuis hier déjà sur le site d'Apple. Ce billet n'a d'autre but que celui d'encourager les développeurs à corriger cette brèche.
Voici ce que l'on peut y voir en modifiant simplement certains paramètres GET de l'URL :
Pour le voir par vous même cliquez-ici (si la faille n'a pas encore été corrigée).
A l'époque des liens raccourcis il est très facile de piéger une victime en profitant de cette faille XSS... pourquoi la société à la pomme ne corrige-t-elle pas cette brèche ?
Via un tweet de Mar1e
4 commentaires
La faille à été corrigée en 1 heure sur le site anglais, mais elle ne l'est toujours pas sur le site français. Du coup le lien change de temps en temps étant donné que plusieurs webmasters ont essayé l'astuce.
A l'heure actuelle, c'est annuaire du geek qui a son lien 😉
Vous parlez tous un peu trop vite.. il n'y a pas de faille XSS, oui il possible d'afficher une image et un lien, mais pas un script, et XSS c'est cross site SCRIPTING.
Si quelqu'un arrive par exemple à récupérer les cookies .apple.com d'une pauvre victime [[ c'est là bien souvent l'attaque par excellence du XSS, sinon pourquoi parler de faille ]] le tout avec un lien et une image, qu'il me fasse un grand signe 🙂
C'est rare pour Apple d'avoir ce genre de faille, l'accélération de production nuit à la qualité sur le long terme.
michael, il est vrai que ce n'est pas très dangereux mais en modifiant encore le lien je pense qu'il est possible de récupérer les identifiants de quelques naïfs
http://tinyurl.com/yfkv3ex