Update: Apple แก้ไขช่องโหว่แล้ว!

ฉันคิดว่าสิ่งนี้จะได้รับการแก้ไขค่อนข้างเร็ว แต่คุณสามารถทำเรื่องตลก (และอาจน่ากลัว) ได้ด้วยไซต์ iTunes Affiliate ของ Apple.com เพียงแค่แก้ไขพารามิเตอร์ URL URL ของ Apple.com ที่แก้ไขมีรูปแบบดังนี้: http://www.apple.com/itunes/affiliates/download/?artistName=OSXDailycom&thumbnailUrl=https://cdn.osxdaily.com/wp-content/themes/osxdaily-leftalign/img/osxdailylogo2.jpg&itmsUrl=https://osxdaily.com&albumName=Best+Mac+Blog+Ever

คลิกที่นี่เพื่อดูเวอร์ชัน OSXDaily.com ของการใช้ประโยชน์จาก XSS บน Apple.com ซึ่งปลอดภัย เพียงแสดงสิ่งที่อยู่ในภาพหน้าจอด้านบน

คุณสามารถใส่อะไรก็ได้ที่คุณต้องการใน URL โดยเปลี่ยนข้อความและลิงก์รูปภาพ ซึ่งนำไปสู่เว็บไซต์ iTunes ของ Apple เวอร์ชันแฮ็กที่ตลกมาก ผู้ใช้รายอื่นได้แก้ไข URL เพิ่มเติมเพื่อให้สามารถรวมหน้าเว็บ จาวาสคริปต์ และเนื้อหาแฟลชอื่น ๆ ผ่าน iFrames ของเว็บไซต์อื่น ๆ ซึ่งเป็นการเปิดประตูสู่ปัญหาทุกประเภท ณ จุดนี้มันเป็นเรื่องตลกเพราะไม่มีใครใช้มันเพื่อจุดประสงค์ที่ชั่วร้าย แต่ถ้ารูเปิดนานเกินไปอย่าแปลกใจถ้ามีคนทำ มาร์คผู้อ่าน OS X รายวันส่งเคล็ดลับนี้พร้อมกับลิงก์ที่แก้ไขซึ่งเปิดชุดหน้าต่างป๊อปอัปและมี iframe ที่แสดงเนื้อหาที่ไม่เผ็ด ซึ่งแสดงภายใต้ Apple ที่ชัดเจน (แม้ว่าจะถูกแฮ็ก)การสร้างตราสินค้า com และนั่นคือสิ่งที่ต้องหลีกเลี่ยง หวังว่า Apple จะแก้ไขปัญหานี้โดยเร็ว

ต่อไปนี้คือภาพหน้าจอบางส่วนเพิ่มเติมที่แสดงการดำเนินการแก้ไข URL ซึ่งคงไว้สำหรับรุ่นหลัง:

ต่อไปนี้คือการทำให้ Windows 7 ตลกยิ่งขึ้นด้วยการแทรก iframe กับไซต์ Microsoft ลงในเนื้อหา: