Apple 官网社区页面存在 XSS 漏洞

问题不大，有双重验证偷不了什么

@kk2syc 双重验证后也是生成 cookies ，xss 可以直接用你验证完的身份操作

@drymonfidelia 怎么过不同 ip 和浏览器的问题呢？敏感操作没办法直接 api 操作。

@kk2syc 苹果的 cookies IP 变了仍然有效。敏感操作实际上也是调用 API 完成的。参考上次的菜谱大全 /t/959041 攻击者者拿到 apple.com 的 cookies 后只骗用户输入了一次账号密码就在双重验证开启的情况下把用户绑定手机号全自动改掉了

@drymonfidelia 那个密码是用于改绑定手机号的，如果不改手机号甚至不需要密码。

关键这个 bug 也太低级了，苹果这么大的公司竟然 PR 和扫描器都没有发现这个漏洞？

这个只提到可以塞 HTML Tag ，没提到有脚本注入吧

@MossFox
don't sanitize html in the discussion title 很大概率能塞脚本了

@billccn
苹果的安全性我一直很怀疑，之前旧设备实现两步验证登录只需要把 6 位验证码写在账号密码结尾就可以登录，从技术上来讲要实现这个功能必须要明文传密码（如果要加密，必须在服务端能获取密码明文），我就去查了下别人逆向出来的 Apple ID 登录协议，原来从 HTTP 时代 Apple 就在明文传 Apple ID 密码了，连个加密都没有

https://github.com/majd/ipatool/blob/6597f5ac77a9e2323529604feaac6ba29c73366b/pkg/appstore/appstore_login.go#L63

这个是新的有 https ，但是还是明文传密码