서버 측 로직을 기반으로 다른 페이지를로드하는 페이지에 IFrame을 사용하는 웹 사이트가 있습니다. 공격자는 점을 고려 악의적 인 웹 사이트에 다른 사용자를 가리 키도록 src 속성을 변경할 수있는 방법이 있나요 -공격자가 iframe의 src 특성을 변경할 수 있습니까?
<iframe src="DeterminedOnServerSide.aspx" id="myFrame">
</iframe>
내 질문은 : 나는 소스보기를 할 경우에 따라서, 나는이 같은 것을 볼 것입니다 src은 서버 측에서 결정됩니까?
IFRAME을 사용하여 "포함"하는 페이지는 소스를 변경하여 새 페이지로 이동할 수 있습니다.
src 속성을 포함한 모든 HTML 소스를 변경할 수 있습니다 방화범이 끌려와 IE 개발자 도구
중앙 공격의 모든 sucsessful 사람과 같은 개발자 도구를 사용하여 IFrame을의 src 값을 변경할 수 있습니다 사이트의 모든 사용자. 공격자가 고객과 서버 간의 프록시 또는 네트워크를 제어하는 경우 src 속성을 포함하여 html을 변경할 수 있습니다.
모든 서버에 대한 해킹은 모든 소스 코드를 변경하고 속성을 변경할 수 있습니다.
해커가 어떤 생각을하고 있습니까? 이것이 교차 사이트 스크립팅 공격의 일반적인 방법이기 때문에 신뢰할 수있는 사람/사이트에 iframe 만 설치하면됩니다.
아니요, 귀하의 서버가 손상되어 해당 소스 파일에 액세스하고 수정할 수있는 경우가 아니면 아니요. 그리고 인 경우, 인 경우 iframe에서 'src'속성을 변경하는 것이 가장 적은 걱정거리입니다.
예 또는 아니요. "DeterminedOnServerSide.aspx"가 결정되는 방법을 지정하지 않았습니다. 이 코드가 DeterminedOnServerSide = Server.Request["frame"]으로 구성되어 있으면 명확하게 '해킹 당할'수 있습니다. 유효한 URL 만 선택하도록하는 방법을 사용하면 취약하지 않습니다.
+1 지금까지 유일한 답변은 정확합니다. imo. 확실히 "예"또는 확실히 "아니오"라고 말하기 전에 어떤 코드가 iframe에서로드 할 페이지를 결정하는지 알 필요가 있습니다. –
예. XSS 공격은 iFrame의 src를 변경할 수 있습니다. 있습니다 (귀하의 웹 사이트 또는 무엇이든)의 src 당신은 iframe의 속성을 변경하는 http://research.zscaler.com/2009/12/xss-embedded-iframes.html
... 페이지가 XSS에 취약한 경우에만 – Cheekysoft
"공격자가 src 속성을 변경할 수있는 방법이 있습니까?"대답은 "예"입니다. 방법이 있습니다. 그것은 보호받을 수 있기 때문에 독점적으로 사실이 아니지만 방법이 있습니다. –
유일한 방법을 :
을 확인 공격자는 DOM을 사용하여 변경합니다.
로드 할 페이지가 결정되는 방법에 대한 샘플 코드를 게시 할 수 있습니까? 그것은 쿼리 문자열과 같은 무언가에서 읽은 다음, 그것은 확실히 조작 할 수 있습니다. –