Hello there, ('ω')ノ

 

AppleSchoolのブラインドXSSー登録データの開示を。

 

脆弱性

　Blind XSS

 

記事：

　https://hackrzvijay.medium.com/blind-xss-in-apple-school-enrollment-data-disclosure-a94c1da5bf54

 

apple.comの調査中に、1つのサブドメインschool.apple.comを見つけたので。

登録フォームで、iammandatoryのXSS Hunterでペイロードを複数回追加して。

調査時には420件近くの記録が公開されているものの。

継続的にペイロードを追加すればリアルタイムで多数の記録が可能で。

　https://xsshunter.com/

 

 

下記は、データで。

 

 

下記がXSS Hunterでペイロードが実行された証拠で。

下記のようなデータを開示して。

　組織名

　登録者の名前と姓

　国

　割り当てられたappleの従業員の電子メール

　組織タイプ

　　など。

 

影響は、最初の攻撃者は、脆弱なコードをバックエンドで実行できて。

次の攻撃者は、登録データを大量に取得できて。

Best regards, (^^ゞ