Seorang whitehat hacker usia 16 tahun asal Spanyol dengan nama "The Pr0ph3t" menemukan kerentanan XSS di website Apple. Kerentanan tersebut dilaporkan dalam subdomain Apple - https://locate.apple.com/, di mana pengguna dapat memilih lokasi pusat layanan.
Tentang Cross site scripting : serangan Cross-Site Scripting adalah serangan tipe dari injeksi url, di mana script berbahaya yang disuntikkan ke dalam situs web dinyatakan jinak dan terpercaya. Script berbahaya tersebut dapat mengakses cookie, sesi token,atau informasi sensitif lainnya yang disimpan oleh browser Anda. Kerentanan ini dapat digunakan oleh penyerang untuk mem-bypass akses kontrol layaknya kebijakan resmi.
Setelah menangkap header HTTP, hacker menemukan bahwa disitu ada parameter yang disebut "lokasi" yang sebenarnya tidak disaring untuk menginput kode berbahaya. Untuk membuktikan konsep yang dimaksud, sang hacker menyuntikkan kode JavaScript - seperti yang ditunjukkan dalam gambar di bawah ini.
Eksistensi kerentanan tersebut telah diverifikasi oleh Tim The Hacker News dan pada saat artikel ini dibuat dinyatakan masih rentan.
Sumber: The Hacker News
Tentang Cross site scripting : serangan Cross-Site Scripting adalah serangan tipe dari injeksi url, di mana script berbahaya yang disuntikkan ke dalam situs web dinyatakan jinak dan terpercaya. Script berbahaya tersebut dapat mengakses cookie, sesi token,atau informasi sensitif lainnya yang disimpan oleh browser Anda. Kerentanan ini dapat digunakan oleh penyerang untuk mem-bypass akses kontrol layaknya kebijakan resmi.
Setelah menangkap header HTTP, hacker menemukan bahwa disitu ada parameter yang disebut "lokasi" yang sebenarnya tidak disaring untuk menginput kode berbahaya. Untuk membuktikan konsep yang dimaksud, sang hacker menyuntikkan kode JavaScript - seperti yang ditunjukkan dalam gambar di bawah ini.
Eksistensi kerentanan tersebut telah diverifikasi oleh Tim The Hacker News dan pada saat artikel ini dibuat dinyatakan masih rentan.
Sumber: The Hacker News
Tidak ada komentar:
Posting Komentar