Vigil@nce - phpMyAdmin : Clickjacking
août 2013 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut inclure le site phpMyAdmin dans un Frame, afin
de forcer la victime à effectuer des opérations sur le site.
Produits concernés : phpMyAdmin
Gravité : 1/4
Date création : 05/08/2013
DESCRIPTION DE LA VULNÉRABILITÉ
L’entête HTTP X-Frame-Options permet d’interdire l’inclusion d’un
site dans un Frame ou un Iframe, afin de le protéger des attaques
de type Clickjacking.
Le service phpMyAdmin utilise cet entête. Cependant, certains
navigateurs web, comme IE 7, ne supportent pas cet entête. Lorsque
la victime emploie certains navigateurs web, il peut alors
toujours être la victime d’un Clickjacking.
Un attaquant peut donc inclure le site phpMyAdmin dans un Frame,
afin de forcer la victime à effectuer des opérations sur le site.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/phpMyAdmin-Clickjacking-13205