На сайте Apple Store обнаружена XSS-уязвимость

Исследователь безопасности, известный под псевдонимом SecBit, обнаружил XSS-уязвимость на сайте Apple Store. Об этом сообщается на сайте XSSPosed.

Брешь была обнаружена 27 декабря этого года. По данным XSSPosed, в настоящее время она до сих пор не исправлена. Это означает, что злоумышленники могут ее проэксплуатировать и с помощью специально сформированной ссылки похитить данные пользователей. Киберпреступники могут похитить cookie-файлы с целью дальнейшего осуществления спуфинг-атаки, а также получить доступ к логину и паролю пользователей.

Пэйлоад данной уязвимости выглядит следующим образом:

furl=b8dc5176d29524847d7012ee046c05d22c4b256f74daa4596372becf0 cd215ed2027659cca02f1a396cfb4e0c94f688e250ce839dda2d3ff6ef71b567e4 b76ec4e745c4ee2c14e89b9626c5125026cfbf51ed9ee2d58ff17d3d8203efc4fa 703e91860672874c5e3eaeafaa1000acf63482615d5c6c63d67d53d73665decad8e&qt= 88952634'%22--%3E%3C/style%3E%3C/scRipt%3E%3CscRipt%3Ealert('XSSPOSED')%3C/scRipt%3E

Это не первый случай, когда на сайте online-магазина Apple обнаруживались XSS-бреши. В базе данных XSSPosed упоминается о еще как минимум 6 уязвимостях, в разное время обнаруженных на данной web-странице.