Ошибка безопасности в свободно конфигурируемых услугах

Ошибки, проблемы, способы их решения.
sasha181
Сообщения: 133
Зарегистрирован: 2012-02-27 15:58:24
Откуда: Краснодар/Саранск
Контактная информация:

Ошибка безопасности в свободно конфигурируемых услугах

Сообщение sasha181 » 2016-01-21 17:47:20

В текстовых полях созданных вручную услуг есть возможность вставить js код:
http://joxi.ru/vAWVp5eIkR4gD2.png
Код работает при заходе на страницу со списком заказов по данной услуге.

Аватара пользователя
Alex Keda
Сообщения: 2882
Зарегистрирован: 2009-10-07 14:30:54
Откуда: USSR
Поблагодарили: 19 раз

Ошибка безопасности в свободно конфигурируемых услугах

Сообщение Alex Keda » 2016-01-21 18:19:48

попарвил
Убей их всех! Бог потом рассортирует...

sasha181
Сообщения: 133
Зарегистрирован: 2012-02-27 15:58:24
Откуда: Краснодар/Саранск
Контактная информация:

Ошибка безопасности в свободно конфигурируемых услугах

Сообщение sasha181 » 2016-01-21 19:47:52

Насколько вообще страшна данная уязвимость? Украсть сессию и войти под админом получится при желании или есть доп. механизмы защиты в обработчике сессий?

Аватара пользователя
Alex Keda
Сообщения: 2882
Зарегистрирован: 2009-10-07 14:30:54
Откуда: USSR
Поблагодарили: 19 раз

Ошибка безопасности в свободно конфигурируемых услугах

Сообщение Alex Keda » 2016-01-21 20:32:38

получится, JS же к сессиям доступ имеет.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
rootden
Сообщения: 260
Зарегистрирован: 2010-09-24 8:28:44
Благодарил (а): 1 раз

Ошибка безопасности в свободно конфигурируемых услугах

Сообщение rootden » 2016-01-27 13:10:00

Alex Keda писал(а):получится, JS же к сессиям доступ имеет.


может есть смысл привязать сессию к IP и User Agent, если украдут то и фиг с ней она работать не будет.
у меня во всех проектах привязка, ведь это намного проще чем проконтролировать вывод всей информации

Аватара пользователя
Alex Keda
Сообщения: 2882
Зарегистрирован: 2009-10-07 14:30:54
Откуда: USSR
Поблагодарили: 19 раз

Ошибка безопасности в свободно конфигурируемых услугах

Сообщение Alex Keda » 2016-01-27 13:39:03

ну я вот утром в метро еду, в тиктенице ковыряюсь...
за это время IP меняется десяток раз

не говоря уже о наземном трнаспорте и 3G
--
и галка-то не поможет, думаю ... просто ставить не будут
Убей их всех! Бог потом рассортирует...

sasha181
Сообщения: 133
Зарегистрирован: 2012-02-27 15:58:24
Откуда: Краснодар/Саранск
Контактная информация:

Ошибка безопасности в свободно конфигурируемых услугах

Сообщение sasha181 » 2016-01-27 14:24:54

Ну тут как сказать. если есть желание работать с телефона, можно настроить работу через прокси, чтобы ip не менялся . можно по крайней мере организовать опционально возможность такой привязки именно для админов биллинга, т.к. краза такого пароля позволит просто глобально снести все аккаунты пользователей через биллинг. Вот тогда проблем будет гораздо больше, чем необходимость работать через прокси сервер.
Хотя конечно такой вариант и отдаёт слегка параноей ))

Аватара пользователя
rootden
Сообщения: 260
Зарегистрирован: 2010-09-24 8:28:44
Благодарил (а): 1 раз

Ошибка безопасности в свободно конфигурируемых услугах

Сообщение rootden » 2016-01-27 15:27:59

Alex Keda писал(а):ну я вот утром в метро еду, в тиктенице ковыряюсь...
за это время IP меняется десяток раз

не говоря уже о наземном трнаспорте и 3G
--
и галка-то не поможет, думаю ... просто ставить не будут


а кто ставить не будет это их дело, идею можно рассматривать как дополнительная опция безопасности,
в браузерах есть авто заполнение логин/пароль как штатное так и сторонним софтом, не замечал дискомфорта в этом плане.

если только к User Agent то проблемы не будет в вашем случае, не думаю что его будут таки активно разгадывать, скорее всего злоумышленники подумают то что привязка идет по IP..... хотя о чем я, можно скачать и посмотреть исходный код))


Вернуться в «Решение проблем»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 13 гостей