Apple исправляет уязвимость XSS iCloud после сообщения об ошибке охотника за ошибками


В августе 2020 года исследователь безопасности Вишал Бхарад обнаружил уязвимость XSS (Stored Cross-Site Scripting) на веб-сайте Apple iCloud, которая позволяет злоумышленникам или хакерам повредить систему с помощью вируса. Бхарад поделился своим опытом обнаружения уязвимости в системе безопасности и получения вознаграждения в размере 5000 долларов от Apple. Сообщается, что Apple устранила эту проблему.

Технический гигант из Купертино запускает свою собственную программу вознаграждения за ошибки Apple Security Bounty, которая вознаграждает исследователей за сообщения об ошибочных разрывах в его программном обеспечении, чтобы предотвратить использование системы злонамеренными хакерами.

В рамках приверженности Apple обеспечению безопасности мы вознаграждаем исследователей, которые делятся с нами критическими проблемами и методами, используемыми для их использования. Мы уделяем первоочередное внимание устранению подтвержденных проблем как можно быстрее, чтобы максимально защитить клиентов. Apple предлагает общественное признание тем, кто представляет достоверные отчеты, и будет соответствовать пожертвованиям в виде вознаграждения соответствующим благотворительным организациям.

яблоко

Apple исправляет уязвимость системы безопасности XSS iCloud и вознаграждает охотника за ошибками

Бхарад Детали то, что начиналось как случайный поиск ошибок в системе Apple iCloud, привело к исследованию XSS и обнаружению взлома безопасности.

Я старался млюбые уязвимости на icloud.com, такие как CSRF, IDOR, Business Logic Bugs и т. д., и ничего не получил. Я все время пытался найти ошибки на icloud.com и после стольких попыток решил найти XSS на icloud.com. (Поскольку я все еще не умею находить XSS: D)

Итак, я вошел в систему с icloud.com и повсюду вставил полезные данные и поискал веб-страницы, на которых мои полезные данные или строки отражаются в ответе. После стольких попыток я получил одну конечную точку, на которой была запущена моя полезная нагрузка, и это была моя “Поиски счастья”

яблоко

Кроме того, Бхарад также поделился видео, в котором показано, как хакеры могут использовать уязвимость XSS для распространения вирусов в учетных записях пользователей iCloud. Он объясняет, что уязвимость работает путем создания документа Pages или Keynote на веб-сайте iCloud с использованием «полезной нагрузки XSS» в поле имени. Когда созданный документ используется совместно с другим пользователем, изменения могут быть внесены в общий файл, перейдя в Pages и сохранив их. После этого хакеры могут перейти в Приложение Pages > Настройки > Браузер Все версии для запуска XSS и внедрения вируса на сайт.

Znet отчеты что производитель iPhone выпустил исправление для ошибки XSS. Бхарад также упомянул, что он сообщил об уязвимости компании и получил вознаграждение Apple Security Bounty в размере 5000 долларов за сообщение об этом в октябре 2020 года. Заинтересованные исследователи могут зарегистрироваться в программе. здесь.

Прочитайте больше:

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *