salut les gars. ça fait un moment que je squatte plus cette cat.
 
je me demandais en dessous de quel limite un site qui est vulnerable à l'insertion du code iframe peut subir des préjudices?
avec iframe, on peut insérer n'importe quelle page web, donc par exemple sa propre page bourée de JS... mais si on est tri tri michant, on peut faire plus?   genre se demerder pour récuperer des cookies, des variables? je suppose que oui mais c'est assez ambiguë comme vous devez le savoir car on peut pas recuperer un cookie issue du cadre parent dans un cadre "fils" issue d'un autre site (    )
 
thx.  

Un site avec une faille iframe ( ) ne peut être qu'un site avec une faille d'insertion de code HTML+JS+flash+etc. Le danger est grand : récupération d'info, sessions, plantage, bref la total.

oui forcément l'expression n'est pas correct ("faille iframe" ), je voulais faire allusion à ce qui en découle.    
 
c'est tout ce qu'on peut me dire? recup d'infos, sessid... ok  mais comment?

Juste les iframes ? C'est pas le plus gros problème à première vue. Mais rien qu'en te disant que tu peux insérer ce genre de chose, bc d'exemples devraient te venir à l'esprit :
 
<script language="javascript" type="text/javascript">
// document.cookie...
// XMLHttpRequest
// .onclick
etc.

avec document.cookie on peut recup le cookie du cadre parent??  

NON
...pourquoi tu te concentres que sur les iframes ? C'est pas le problème le plus grave si on a une faille d'insertion de code...

Je ne comprend pas cette histoire de faille dans le iframe. Dans quel cas il est possible d'hacker un site via l'iframe.

J'imagine qu'en modifiant le document parent à coup de javascript incluant le rajout de code javascript malicieux, on doit pouvoir faire des chôses super chouet.
 
Mais vu qu'on est dans la section php (je sais section php = section aimant/poubelle) j'aurais plustôt envie de parler de la faille des includes/require non vérifier qui permet alors d'exécuter sur le serveur tous les scripts php qu'on a envie.

non le problème n'est pas l'insertion possible de TOUS les tags offerts par HTML mais seulement iframe. J'ai decouvert celà sur un forum (pour la question d'ethique, le webmaster a colmaté tout ça tranquillement), et je me demandé si c'était vraiment CRITIQUE en fait. SI il offre un grand panel de possibilité pour hacker le site? (je précise que c'est exclusivement pour mon information hein...)
 
 
et je le répète, ce n'est pas un FAILLE à proprement parler, mon expression est incorrect, je ne savais pas comment determiner ça (et au passage je pensais que ça ameuterai un peu les gens, donc mon potentiel de réponses à la question   )
 
merci de m'en dire plus.
 
ps: comment un cadre "fils", donc iframe, via JS, peut "incriminer" un cadre parent?

+1, je suis curieux.
En quoi la frame fils peut causer préjudice ?
Genre vol de cookie etc ?
 
Elle peut rien faire normalement.