Новая тема   Ответить

 Retox
Есть удобный и мощный трейд скрипт топа , но в нём уязвимость, троянщик может под видом трейдера в mail форму засабмитить JS который при заходе админа отошлёт куки и троянщик сможет зайти в admin.php и в темплейты вставить iframe, эксп. тп.
Поможет ли закрытие файла admin.php с помощью htpasswd паролем или htaccess по IP , в этом случае как я понимаю даже имея куки для входа в admin.php троянщика остановит на уровне сервера?
Или может ещё какие методы есть - заходить через опредлённый браузер или установить опредёлённые права на темплеты что бы невозможно было бы вставить вредоносную компоненту из админки. Интересно всё кроме смены скрипта это и так понятно , просто альтернативы нет хорошей.
Всем заранее благодарен

 ibiz
по идее остановит, тогда можно пароль с admin.php убрать вообще

 Vyacheslav
Дело в том, что запрет htaccess по IP для admin.php желателен даже в случаях отсутствия явных уязвимостей!
В идеале попробовать поправить сам скрипт админской части.

 LemonS
если надо именно в скрипте то admin.php переименовываем в admin1.php

сам admin.php делаем
<?
$_POST['message'] = strip_tags($_POST['message']);
include('admin1.php');

имя $_POST['message'] смотрится на названию поля, в котором сабмититься месага.

 CrazyMen
Если я правильно понял про какой скрипт идет речь То просто переимунуй admin.php во что то другое и максимально закрой доступ ко всему. Хотя мне не помогло даже полное ограничение на 1 ip сученышь все равно бекдоры тянул

 rx
значит в другом месте свои дырки или дырки позволяющие локальный доступ к закрытому извне файлу. надо все проверять

 Alexandur
В последней версии этого секретного топа была добавлена авторизация по сессии. Куки в ней воровать бесполезно.

 LeadFarmer
Retox писал:
сделать авторизацию по htpasswd - самое простое
отключать яваскрипт при входе в админку - тут главное помнить об этом
сделать/заказать скрипт который будет сам периодически логиниться в админку и проверять сообщения на предмет тега script и удалять такие. тот же вариант решения, но если скрипт на бд типа mysql - написать скрипт который по крону будет из бд такие сообщения удалять. там работы на полчаса со всеми перекурами

 Lin
а скрипт под зендом чтоль?
если нет, то нужно подправить его, зафильтровать все вводимые данные

и кстати, закрытие админки не обязательно поможет, т.к при незакрытой xss там не только куки могут упереть.

 CrazyMen
Скрипт под ионкубом. старые версии под зендом.

 Lin
тогда написать скрипт который будет принимать данные формы регистрации, фильтровать и отправлять их уже в оригинальный.

ну или блокировать js в админке через noscript

 Retox
Парни всем спасибо, предложены интересные методы, буду комбинировать
Всем рейтинг выставил