bbs网赚论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
热搜: 活动 交友 discuz
查看: 8|回复: 0

Bug赏金猎人报告苹果iCloud服务中包含的XSS漏洞 获得5000美元

[复制链接]

2万

主题

2万

帖子

3万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
32704
发表于 4 天前 | 显示全部楼层 |阅读模式
  苹果公司已经修复了 iCloud 领域的一个存储跨站脚本(XSS)漏洞。Bug 赏金猎人和渗透测试员 Vishal Bharad 声称发现了这个安全漏洞,这是 icloud.com 中的一个存储 XSS 问题。存储式 XSS 漏洞也被称为持久性 XSS,可用于在目标服务器上存储有效载荷,并借助其将恶意脚本注入网站,可能被用于窃取 cookie、会话令牌和浏览器数据。
  据 Bharad 介绍,icloud.com 的 XSS 漏洞是在苹果 iCloud 服务中的 Page/Keynotes 功能中发现的。
  为了触发该漏洞,攻击者需要创建新的 Pages 或 Keynote 内容,并在名称字段中提交 XSS 载荷,保存这些内容,并与另一个用户发送或共享。然后,攻击者需要对恶意内容进行一两次修改,再次保存,然后访问 "设置"和 "浏览器所有版本"。点击这个选项后,XSS 有效载荷就会触发。
  巴拉德还提供了一个概念验证(PoC)视频来演示该漏洞。研究人员于 2020 年 8 月 7 日向苹果公司披露了该漏洞。报告随后被接受,Bharad 于 10 月 9 日获得了 5000 美元的经济奖励。
  Bug 赏金计划,如 HackerOne 和 Bugcrowd 提供的计划,仍然是外部研究人员向技术供应商报告安全问题的流行方法。仅在 2020 年,谷歌就为 Bug 赏金猎人的报告支付了 670 万美元。
  访问更多技术细节:
  https://vbharad.medium.com/stored-xss-in-icloud-com-5000-998b8c4b2075

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|最新帖子|bbs网赚论坛  

GMT+8, 2021-2-27 02:16 , Processed in 0.276367 second(s), 25 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表