Bug XSS stocké dans le domaine Apple iCloud révélé par Bug Bounty Hunter


Une vulnérabilité de script intersite (XSS) stockée dans le domaine iCloud aurait été corrigée par Apple.

Vishal Bharad, chasseur de primes de bogues et testeur de pénétration, affirme avoir découvert la faille de sécurité, qui est un problème XSS stocké sur icloud.com.

Les vulnérabilités XSS stockées, également appelées XSS persistantes, peuvent être utilisées pour stocker des charges utiles sur un serveur cible, injecter des scripts malveillants dans des sites Web et potentiellement être utilisées pour voler des cookies, des jetons de session et des données de navigateur.

Selon Bharad, la faille XSS dans icloud.com a été trouvée dans les fonctionnalités Page / Keynotes du domaine iCloud d'Apple.

Afin de déclencher le bogue, un attaquant devait créer de nouveaux contenus Pages ou Keynote avec une charge XSS soumise dans le champ de nom.

Ce contenu devra ensuite être enregistré et envoyé ou partagé avec un autre utilisateur. Un attaquant serait alors invité à apporter une ou deux modifications au contenu malveillant, à le sauvegarder à nouveau, puis à visiter «Paramètres» et «Naviguer toutes les versions».

Après avoir cliqué sur cette option, la charge utile XSS se déclencherait, a déclaré le chercheur.

Bharad a également fourni une vidéo de preuve de concept (PoC) pour démontrer la vulnérabilité.

Le chercheur a révélé le bogue à Apple le 7 août 2020. Le rapport a été accepté et Bharad a reçu une récompense financière de 5000 $ pour ses efforts le 9 octobre.

Les programmes de bug bounty, tels que ceux proposés par HackerOne et Bugcrowd, restent une méthode populaire pour les chercheurs externes pour signaler les problèmes de sécurité aux fournisseurs de technologie. Rien qu'en 2020, Google a payé 6,7 millions de dollars aux chasseurs de primes pour leurs rapports.

ZDNet a contacté Apple pour obtenir des commentaires et se mettra à jour lorsque nous aurons une réponse.

Couverture antérieure et connexe


Vous avez un conseil? Entrez en contact en toute sécurité via WhatsApp | Signal au +447713025499, ou plus à Keybase: charlie0




Source link

Pourquoi composer un magasin sur internet ?

On voit clairement qu’il est vraisemblable de se lancer rapidement sans argent et sans connaissance technique particulière. Je vous conseille de vous jeter rapidement en dropshipping et de fondamentalement ne pas mettre trop d’argent sur votre site. Il vous faut fondamentalement avoir un budget marchéage pour provoquer venir les internautes sur votre boutique : c’est le ligament de la guerre. Car tel que je l’ai dit, vous pouvez avoir la plus belle boutique. Sans trafic, vous ne ferez à la saint-glinglin de chiffre d’affaires. Une que vous aurez testé, votre marché vous pourrez alors dépraver un stock.