La vulnerabilidad ha sido descubierta y reportada en el subdominio de Apple "https://locate.apple.com", donde los usuarios pueden elegir una ubicación en su centro de servicio.
Acerca de Cross Site Scripting : Cross-Site Scripting son un problema de inyección en el que los scripts maliciosos pueden ser inyectados en los sitios web de otra manera benigna y de confianza.
El script malicioso puede tener acceso a las cookies, tokens de sesion u otra información sensible retenida en el navegador.
Esta vulnerabilidad puede ser utilizada por atacantes para eludir los controles de acceso.
Tras capturar en las cabeceras HTTP, el hacker encontró que hay un parámetro llamado "location" el cuál no filtra las entradas maliciosas.
Como prueba de el mismo se inyecta un código javascript como se puede observar en la imagen.
La existencia de la dicha vulnerabilidad ha sido verificada por el equipo de THN (The Hacker News team) y es todavía vulnerable.
FUENTE: ElTrolAdo
0 frikicomentarios