23月13日,星期二,31:XNUMX
保安 在Apple iCloud域中检测到XSS错误

在Apple iCloud域中检测到XSS错误

据说iCloud域中的跨站点脚本(XSS)漏洞已由Apple修复。 Bug猎人和渗透测试人员Vishal Bharad声称发现了安全漏洞,这是icloud.com上存储的XSS问题。

存储的XSS漏洞(也称为“持久XSS”)可用于在目标服务器上存储有效负载,将恶意脚本插入网站中,还可能用于窃取Cookie,会话令牌和 浏览器数据.

根据Bharad的说法,icloud.com中的XSS缺陷在Apple的iCloud域的Page / Keynotes功能中被检测到。

苹果iCloud

要激活错误,攻击者 需要创建 在name字段中提交的具有XSS有效内容的新Pages或Keynote内容。

然后应保存此内容,然后将其发送或与其他用户共享。 然后一个 攻击者 应该对进行一两个更改 恶意内容,再次保存,然后访问“设置”和“浏览器所有版本”。

点击后 选择研究人员说,XSS有效负载将被启用。

巴拉德还提供了概念验证视频(的PoC)展示此漏洞。

调查人员于7年2020月5000日向苹果公司透露了该错误。该报告被接受,巴拉德于9月XNUMX日获得XNUMX美元的经济奖励。

错误赏金计划,例如 被提供 由HackerOne和Bugcrowd撰写,在想要报告安全问题的外部研究人员中仍然很受欢迎 技术供应商。 仅在2020年,谷歌就向臭虫猎手提供了6,7万美元的报酬。

信息来源:zdnet.com

离开答案

请输入您发表评论!
请在此输入你的名字

实时新闻

在Apple iCloud域中检测到XSS错误

据说iCloud域中的跨站点脚本(XSS)漏洞已由Apple修复。 错误猎人和渗透测试仪Vishal ...

共享对象:发布儿童照片有多危险

据安全专家Ritesh Kotak称,在...之前,父母倾向于在社交媒体上发布约1.500张孩子的照片。

Python面临发布更新以解决RCE漏洞的压力

Python Software Foundation(PSF)已发布Python版本3.9.2和3.8.8,以解决两个主要的安全问题,包括错误...
00:03:59

Windows和Linux双重启动的7种危险

https://www.youtube.com/watch?v=ZUvqVlF4x5E Εάν σκέφτεστε να εγκαταστήσετε ένα δεύτερο λειτουργικό σύστημα στον υπολογιστή σας, καλό είναι να λάβετε υπόψη...

英国法院驳回了Epic Games对苹果的诉讼

英国竞争上诉法庭驳回了针对苹果公司的Epic Games的诉讼,因此...

Powerhouse VPN产品用于DDoS攻击

一些僵尸网络运营商滥用VPN Powerhouse Management提供商的VPN服务器来反弹并增加不必要的流量...

社交媒体用户更容易出现错误信息

根据一项调查,选择社交媒体作为重要问题的重要信息来源的用户,例如Covid-19或...

奥斯汀能源公司-德克萨斯州:骗子用断电威胁客户!

奥斯汀能源公司(Austin Energy)是一家公共事业,向德克萨斯州奥斯汀市及周边地区供电,该公司于...

苹果:取代三星,成为第一大智能手机销售商

根据Gartner公司的说法,苹果公司重新回到顶端,并成为第一大智能手机销售商(从...

NurseryCam:针对暴露于黑客的幼儿园儿童的网络摄像头监控系统

NurseryCam是一家提供网络摄像头系统的公司,该系统可让父母在上幼儿园时照看孩子,并了解情况。