Anfang Januar, genauer gesagt am 06.01.2014, hatte ich auf consultants.apple.com eine Blind SQL Injection gemeldet, welche am 14.01.2014 direkt behoben worden war.
Gestern erreichte mich dann die Nachricht, dass ich in der Hall of Fame aufgenommen worden bin.

Die Schwachstelle befand sich bei allen POST-Parameter des Formulars “/au/forms/join_form_all2.php”.

POST-Parameter:

[+] general_liability  
[+] number_consultant  
[+] number_employees  
[+] years_business  
[+] business_revenue  
[+] currency  
[+] contact_country  
[+] type of business

Das betroffene Formular wurde komplett entfernt.