[découverte faille de sécurité] un iframe peut-il être dangereux? [Fait]

[Sayrus]

Question qui peut paraitre stupide mais, n'utilisant jamais de <iframe>, je me pose la question...

J'ai découvert un site où, si je rentre un code avec <iframe src="http://www.google.be"></iframe>, la page, évidement génère une erreur sql, mais à ma grande surprise, la page google apparait dans la frame...

Est-ce que si je charge une page PHP distante dans la iframe contenant du code malveillant, est-ce que je peux provoquer des dégàts sur la machine???

Si ça avait un include, j'aurais dit OUI tout de suite, mais ne connaissant pas bien le fonctionnement des iframes...

Est-ce qu'un iframe aura le même impacte qu'un include??

Merci beaucoup!

[_Mac_]

Citation:

Envoyé par Sayrus

J'ai découvert un site où, si je rentre un code avec <iframe src="http://www.google.be"></iframe>, la page, évidement génère une erreur sql, mais à ma grande surprise, la page google apparait dans la frame...

Rentré où çà ? Dans un formulaire ? Dans ce cas, l'erreur SQL est une grossière erreur de codage : l'application ne vérifie pas ou n'encode pas les données qu'on lui envoie, ce qui est pour le coup un risque pour le serveur.

Citation:

Envoyé par Sayrus

Est-ce qu'un iframe aura le même impacte qu'un include??

Non, ou du moins pas de la même manière. Une chose très importante et fondamentale : l'IFRAME, c'est le navigateur qui la traite (ou l'affiche), pas le serveur, alors que l'include, c'est le serveur qui s'en charge. Le pb de sécurité en ce qui concerne les IFRAMEs est donc plutôt côté client que côté serveur. S'il y a des impacts côté serveur, c'est parce qu'il y a exploitation d'une faille du serveur en passant par le client.

Le risque des IFRAMEs (et des FRAMEs) vient de l'utilisation éventuelle de code JavaScript malveillant. Le mécanisme de protection des navigateurs pour les IFRAMEs est le même que pour les FRAMEs : tout est une question de domaine. Donc, soit le code JavaScript est malveillant en soi pour le navigateur, c'est-à-dire qu'il exploite une faille du navigateur, soit il essaie de récupérer les données de l'utilisateur ou de navigation en passant d'une (I)FRAME à une autre ou à la page principale. Et c'est là que la protection des domaines intervient : logiquement, les échanges entre (I)FRAMEs et pages ne sont autorisés que si elles viennent du même domaine, i.e. du même site. Contourner cette protection, c'est de nouveau jouer sur des faiblesses du navigateur. Mais une fois de plus, dans l'absolu, c'est le navigateur qu'on met en danger, pas le site : si le site peut être mis en danger (avec une (I)FRAME ou autre chose) c'est parce qu'il présente une faille. L'IFRAME en elle-même n'est pas dangereuse, sinon je sais pas pourquoi elle apparaîtrait dans les spécifications HTML !

[Sayrus]

Hello,

Je me doutais bien en un sens qu'un iframe ne pourrait faire des dégâts côtés serveur...

Mais une faille XSS est bien là!

Je peux par exemple, faire un alert('ok') ou encore importer un fichier.js pour l'exécuter...

Seulement, je ne vois pas comment un script js malveillant pourrait faire du tord de cette manière, car, pour qu'un js puisse par exemple récupérer les cookies du visiteur, il faut soit, forcer d'une manière ou d'une autre l'utilisateur à cliquer sur une page bidon qui renvoit vers cette faille avec le code js inclus soit que le résultat soit enregistré sur un forum ou quoi...

Mais je ne vois pas comment pouvoir exploiter cette faille...

Merci de m'éclairer

PS : je tiens à préciser que je ne cherche pas à hacker mais bien à comprendre le danger potentiel.

[_Mac_]

Avec JavaScript, on peut tout faire, par exemple poster un formulaire sans qu'on le sache

[Sayrus]

Oui mais quel est l'intérêt dans ce cas-ci?

Car cette faille XSS est utilisable grâce à l'erreur SQL produite

[_Mac_]

J'en sais rien ! Je ne sais pas vraiment à quoi peut servir une attaque XSS, mais j'imagine qu'il y a des cas où on veut que ça se fasse à l'insu de l'internaute Wikipedia t'en dira plus que moi sur le sujet.

[FloMo]

Je trouve aussi cela étonnant car appeler un serveur via Javascript autre que le serveur fournissant la page pose problème au niveau d'AJAX mais il n'y a aucun problème lorsque l'on appelle le même code dans une iframe !