Ένας 16χρονος Ισπανός whitehat hacker, ο οποίος χρησιμοποιεί το ψευδώνυμο “The Pr0ph3t“, εντόπισε ευπάθεια Cross-Site Scripting (XSS) στην ιστοσελίδα της Apple. Η ευπάθεια ανεβρέθηκε στο subdomain https://locate.apple.com, όπου οι χρήστες μπορούν να επιλέξουν μια τοποθεσία από το κέντρο εξυπηρέτησης.
Σχετικά με τις επιθέσεις τύπου Cross site scripting (XSS):
Οι Cross-Site Scripting επιθέσεις είναι ένα είδος σφάλματος σε αξιόπιστες ιστοσελίδες. Το κακόβουλο script μπορεί να έχει πρόσβαση σε οποιαδήποτε cookies, session tokens ή άλλες ευαίσθητες πληροφορίες που διατηρούνται από το πρόγραμμα περιήγησής σας. Αυτή η ευπάθεια μπορεί να χρησιμοποιηθεί από τους εισβολείς για να παρακάμψουν τους ελέγχους πρόσβασης και αυθεντικοποίησης.
Μετά τη λήψη των επικεφαλίδων HTTP, ο hacker διαπίστωσε ότι υπάρχει μια παράμετρος που ονομάζεται “location”, η οποία στην πραγματικότητα δεν φιλτράρεται για εισαγωγή κακόβουλου κώδικα.
Η ιστοσελίδα εξακολουθεί να είναι ευάλωτη στη συγκεκριμένη ευπάθεια.
