Cross Site Frames et phishing

• C'est plus grave quand c'est sur un site bancaire !

• Exemple courant : site utilisant des cadres (frames) et passant les adresses des cadres dans l'URL http://www.monsite.com/frameset.asp?frame=frame1.html

  • La valeur de "frame" est acceptée sans vérification et le code HTML généré ressemble à : <frameset> ... <frame src="frame1.html"> ... </frameset>
  • Si la valeur de "frame" n'est pas vérifiée et intégrée telle quelle dans le code, et que quelqu'un atteint l'URL http://www.monsite.com/frameset.asp?frame=http://autresite.com/attaque.html alors la page de l'attaquant va s'afficher dans le navigateur, alors que la barre d'URL indiquera toujours le site www.monsite.com