*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。

一位16岁的西班牙白帽子"The Pr0ph3t"发现了苹果官网的XSS漏洞。这个漏洞出现在苹果的子域名 https://locate.apple.com

XSS漏洞：恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。

通过抓包，黑客发现location参数对输入未做过滤，因此可以注入如上图所示的JS代码。