Discussion :

[defacta]

Salut,

Je suis en train de dev. un site avec authentification o� des iframes communiquent entre elles et j'aimerais savoir si il est possible pr un utilisateur malveillant de faire passer une variable javascript dans l'URL ?

Mon syst�me permet l'identification dans une iframe et si l'identification s'est bien pass�e cette iframe lance par javascript l'info � d'autres iframes...

Merci,
Vincent.

[SpaceFrog]

Aucune identification ne devra jamais reposer uniquement sur javascript ...

[defacta]

Aucune identification ne devra jamais reposer uniquement sur javascript ...

J'ai mal expliqu� la chose. L'identification se fait en PHP � l'aide de la phplib dans un iframe.
Si l'identification est OK dans cette iframe, cela charge une page contenant du javascript qui va dire � une autre iframe:

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
4
5
6
7
 
function JS_user_logged() {
  if(window.parent.iframe_main.JS_picbook_user_id == ".$auth->auth["uid"].") {
    window.parent.iframe_main.JS_menu_edit = 1 ;
    window.parent.iframe_main.iframe_menu_picbook.location = 'iframe_menu_picbook.php' ;
      }
}

Vous voyez, cela change une variable d'une autre iframe et change le contenu d'une iframe, un menu permettant des modifications.

Apr�s identification on v�rifier si un bouquin en ligne appartient bien � celui qui s'est identifi� par un if javascript:
if(window.parent.iframe_main.JS_picbook_user_id == ".$auth->auth["uid"].")
Est-ce qu'un utilisateur malveillant peut modifier par l'URL la valeur de cette variable: JS_picbook_user_id

Merci,
Vincent.

[Bovino]

J'ai mal expliqu� la chose. L'identification se fait en PHP � l'aide de la phplib dans un iframe.

Ben si, la preuve :

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

if(window.parent.iframe_main.JS_picbook_user_id == ".$auth->auth["uid"].")

Ici, ton script PHP va �crire dans ta page HTML la valeur recherch�e. Il suffit donc de lire ton code pour savoir comment s'authentifier.