faille iframe
faille iframe - PHP - Programmation
Marsh Posté le 11-12-2005 à 18:33:23
Un site avec une faille iframe ( 
) ne peut être qu'un site avec une faille d'insertion de code HTML+JS+flash+etc. Le danger est grand : récupération d'info, sessions, plantage, bref la total.
Marsh Posté le 11-12-2005 à 18:44:10
oui forcément l'expression n'est pas correct ("faille iframe" ), je voulais faire allusion à ce qui en découle. 
c'est tout ce qu'on peut me dire? recup d'infos, sessid... ok mais comment?
Marsh Posté le 11-12-2005 à 18:51:07
Juste les iframes ? C'est pas le plus gros problème à première vue. Mais rien qu'en te disant que tu peux insérer ce genre de chose, bc d'exemples devraient te venir à l'esprit :
<script language="javascript" type="text/javascript">
// document.cookie...
// XMLHttpRequest
// .onclick
etc.
Message édité par kalex le 11-12-2005 à 18:52:40
Marsh Posté le 11-12-2005 à 19:39:02
avec document.cookie on peut recup le cookie du cadre parent?? 
Marsh Posté le 11-12-2005 à 20:07:36
NON 
...pourquoi tu te concentres que sur les iframes ? C'est pas le problème le plus grave si on a une faille d'insertion de code...
Message édité par kalex le 11-12-2005 à 20:08:27
Marsh Posté le 12-12-2005 à 17:07:02
Je ne comprend pas cette histoire de faille dans le iframe. Dans quel cas il est possible d'hacker un site via l'iframe.
Marsh Posté le 12-12-2005 à 18:28:48
J'imagine qu'en modifiant le document parent à coup de javascript incluant le rajout de code javascript malicieux, on doit pouvoir faire des chôses super chouet.
Mais vu qu'on est dans la section php (je sais section php = section aimant/poubelle) j'aurais plustôt envie de parler de la faille des includes/require non vérifier qui permet alors d'exécuter sur le serveur tous les scripts php qu'on a envie.
Marsh Posté le 12-12-2005 à 20:07:57
non le problème n'est pas l'insertion possible de TOUS les tags offerts par HTML mais seulement iframe. J'ai decouvert celà sur un forum (pour la question d'ethique, le webmaster a colmaté tout ça tranquillement), et je me demandé si c'était vraiment CRITIQUE en fait. SI il offre un grand panel de possibilité pour hacker le site? (je précise que c'est exclusivement pour mon information hein...)
et je le répète, ce n'est pas un FAILLE à proprement parler, mon expression est incorrect, je ne savais pas comment determiner ça (et au passage je pensais que ça ameuterai un peu les gens, donc mon potentiel de réponses à la question 
)
merci de m'en dire plus.
ps: comment un cadre "fils", donc iframe, via JS, peut "incriminer" un cadre parent?
Marsh Posté le 18-01-2006 à 19:49:35
+1, je suis curieux.
En quoi la frame fils peut causer préjudice ?
Genre vol de cookie etc ?
Elle peut rien faire normalement.
---------------
LeRobot : un bot discord qui permet faire des stats sur vos temps de jeux
Sujets relatifs:
- iframe et xhtml
- [Js] Appeller la fonction d'une autre page (iframe)
- Comment éviter pop up dans IFRAME
- Probleme PHP et Iframe !
- problème lien html dans une iframe svp
- iframe, object, ..., à recharger et redimensionner
- explorateur dans un iframe
- [URGENT] MSN Search et PHPSESSID (faille de sécurité inside...)
- Ouverture page dans une iframe
- Pseudo onKey pour iframe en designMode
Marsh Posté le 11-12-2005 à 17:56:56
salut les gars. ça fait un moment que je squatte plus cette cat.
genre se demerder pour récuperer des cookies, des variables? je suppose que oui mais c'est assez ambiguë comme vous devez le savoir car on peut pas recuperer un cookie issue du cadre parent dans un cadre "fils" issue d'un autre site ( 
)
je me demandais en dessous de quel limite un site qui est vulnerable à l'insertion du code iframe peut subir des préjudices?
avec iframe, on peut insérer n'importe quelle page web, donc par exemple sa propre page bourée de JS... mais si on est tri tri michant, on peut faire plus?
thx.