Bug赏金猎人报告苹果iCloud服务中包含的XSS漏洞 获得5000美元

2021年02月22日 22:46 次阅读 稿源:cnBeta.COM 条评论

苹果公司已经修复了iCloud领域的一个存储跨站脚本(XSS)漏洞。Bug赏金猎人和渗透测试员Vishal Bharad声称发现了这个安全漏洞,这是icloud.com中的一个存储XSS问题。存储式XSS漏洞也被称为持久性XSS,可用于在目标服务器上存储有效载荷,并借助其将恶意脚本注入网站,可能被用于窃取cookie、会话令牌和浏览器数据。

访问:

2021阿里云上云采购季:采购补贴、充值返券、爆款抢先购……

访问:

苹果在线商店(中国)

据Bharad介绍,icloud.com的XSS漏洞是在苹果iCloud服务中的Page/Keynotes功能中发现的。

1-pyP1sLG6-L7P85boiTciQA.png

为了触发该漏洞,攻击者需要创建新的Pages或Keynote内容,并在名称字段中提交XSS载荷,保存这些内容,并与另一个用户发送或共享。然后,攻击者需要对恶意内容进行一两次修改,再次保存,然后访问 "设置"和 "浏览器所有版本"。点击这个选项后,XSS有效载荷就会触发。

巴拉德还提供了一个概念验证(PoC)视频来演示该漏洞。研究人员于2020年8月7日向苹果公司披露了该漏洞。报告随后被接受,Bharad于10月9日获得了5000美元的经济奖励。

Bug赏金计划,如HackerOne和Bugcrowd提供的计划,仍然是外部研究人员向技术供应商报告安全问题的流行方法。仅在2020年,谷歌就为Bug赏金猎人的报告支付了670万美元。

1-n5lBHE62IFMxJTwzXRy7Gg.png

访问更多技术细节:

https://vbharad.medium.com/stored-xss-in-icloud-com-5000-998b8c4b2075

对文章打分

Bug赏金猎人报告苹果iCloud服务中包含的XSS漏洞 获得5000美元

1 (25%)
已有 条意见

    最新资讯

    加载中...

    今日最热

    加载中...

    热门评论

      Top 10

      招聘


      Advertisment ad adsense googles cpro.baidu.com
      created by ceallan