close
據Bharad介紹,icloud.com的XSS漏洞是在蘋果iCloud服務中的Page/Keynotes功能中發現的。
為瞭觸發該漏洞,攻擊者需要創建新的Pages或Keynote內容,並在名稱字段中提交XSS載荷,保存這些內容,並與另一個用戶發送或共享。然後,攻擊者需要對惡意內容進行一兩次修改,再次保存,然後訪問 "設置"和 "瀏覽器所有版本"。點擊這個選項後,XSS有效載荷就會觸發。
巴拉德還提供瞭一個概念驗證(PoC)視頻來演示該漏洞。研究人員於2020年8月7日向蘋果公司披露瞭該漏洞。報告隨後被接受,Bharad於10月9日獲得瞭5000美元的經濟獎勵。
Bug賞金計劃,如HackerOne和Bugcrowd提供的計劃,仍然是外部研究人員向技術供應商報告安全問題的流行方法。僅在2020年,谷歌就為Bug賞金獵人的報告支付瞭670萬美元。
訪問更多技術細節:
https://vbharad.medium.com/stored-xss-in-icloud-com-5000-998b8c4b2075
全站熱搜
留言列表
