Hoy mismo hablamos de cómo se reportan y cómo Apple da crédito a los investigadores que informan de fallos en las webs de Apple.com, y a través de un comentario nos hemos enterado de que un joven español de 16 años, con nickname The_Pr0ph3t, ha publicado una vulnerabilidad de Cross-Site Scripting (XSS) en una dominio de Apple.com, que ha salido en The Hacker News.
El bug de XSS es por POST en el subdominio locate.apple.com y suponemos que el equipo de seguridad de Apple ya estará al tanto de ello.
![]() |
Figura 2: Detalle de una petición POST explotando el bug de XSS |
![]() |
Figura 3: Bug explotable por GET |
Actualización: El bug es explotable también por GET, y está aún funcionando. Gracias por la aclaración en el comentario The_Pr0ph3t.
EL nick es The_Pr0ph3t..
ResponderEliminarSaludos :P
Por GET: https://locate.apple.com/es/es/service/?pt=2&lat=40.4166909&lon=-3.70034540000006&location=%22%3E%3Cscript%3Ealert%28/Pr0ph3t/.source%29%3C/script%3E
ResponderEliminarPD; Soy Pr0ph3t
Enhorabuena! Sobretodo si es verdad que tienes 16 años (sino también)
EliminarLa envidia es malísima para el que la sufre ;-)
@Proph3t, actualizado. Gracias por la aclaración. Saludos!
ResponderEliminarFlipaaaaaao
ResponderEliminarPD; Soy 4lm04d4
va buen bug
ResponderEliminar