Ho trovato uno dei siti Web che sta caricando tutti i siti web di acquisti nel proprio dominio.
Eg . www.domain.com having links like ,
www.shoppingsite1.com , www.shoppingsite2.com ,www.shoppingsite3.com ....
if we click on shoppingsite1.com it leads to www.domain.com/iframe/shoppingsite1
and loads the shoppingsite1.com inside this domain.
se qualcuno acquista il prodotto da shoppingsite1.com. È possibile che domain.com caputer tutti i dati dell'utente incluse le credenziali di pagamento.
No, a condizione che il CORS Access-Control-Allow-Origin sia al suo valore restrittivo predefinito. Ciò impedisce al sito Web esterno di accedere al sito Web con frame tramite Javascript / etc.
CSRF sono ancora possibili, sebbene molti siti si proteggano da questo.
Nota che dovresti essere sicuro che l'iframe si trova effettivamente nel dominio corretto (fai clic con il pulsante destro del mouse > guarda le informazioni sul frame su Chrome) e non viene sottoposto a phishing.
Ci sono i problemi sollevati da Manishearth ma anche la possibilità che, poiché il sito è caricato in un iframe, potrebbero sovrapporre i propri campi di testo ai campi di input della carta di credito, ad esempio.
È come una leggera variazione dell'attacco di un clickjacking e mentre il sito host non sta rubando i dati dal sito che stanno inquadrando, ti stanno solo inducendo a inserirli nel sito host.
Leggi altre domande sui tag authentication attacks