idNSA.id - Seorang pemburu bug bounty mengklaim telah mendapatkan hadiah $5.000 dari Apple karena melaporkan kerentanan cross-site scripting (XSS) yang tersimpan di iCloud.com.
Vishal Bharad, seorang peneliti dan penguji penetrasi dari India, menerbitkan posting blog yang menjelaskan temuannya. Bharad mengatakan dia telah mencoba menemukan cross-site request forgery (CSRF), insecure direct object reference (IDOR), bug logika, dan jenis masalah lainnya di situs web icloud.com Apple , tetapi akhirnya menemukan cacat XSS yang tersimpan.
Kerentanan terdapat pada versi perangkat lunak Apple's Pages dan Keynote yang dihosting iCloud. Eksploitasi melibatkan pembuatan dokumen atau presentasi baru dan memasukkan muatan XSS ke dalam bidang namanya.
Penyerang kemudian perlu membagikan tautan ke dokumen atau presentasi berbahaya dengan pengguna yang ditargetkan dan meyakinkan mereka untuk mengakses fitur "Browse All Version" dari menu "Setting". Setelah korban mengklik "Browse All Version," muatan berbahaya penyerang dieksekusi di browser mereka.
Bharad mengatakan dia melaporkan temuannya ke Apple pada Agustus 2020 dan pada Oktober, raksasa teknologi itu memberitahunya bahwa lubang keamanan telah membuatnya mendapatkan $5.000.
Peneliti telah menerbitkan entri blog yang merinci temuannya , serta video yang menunjukkan cara kerja serangan.
Perlu untuk diketahui bahwa Kerentanan XSS dapat berdampak signifikan, itulah sebabnya perusahaan seperti Google , Facebook , dan Tesla telah membayar puluhan ribu dolar untuk jenis kekurangan ini.
