Биллинг для хостинга

В текстовых полях созданных вручную услуг есть возможность вставить js код:
http://joxi.ru/vAWVp5eIkR4gD2.png
Код работает при заходе на страницу со списком заказов по данной услуге.

попарвил

Насколько вообще страшна данная уязвимость? Украсть сессию и войти под админом получится при желании или есть доп. механизмы защиты в обработчике сессий?

получится, JS же к сессиям доступ имеет.

Alex Keda писал(а):получится, JS же к сессиям доступ имеет.

может есть смысл привязать сессию к IP и User Agent, если украдут то и фиг с ней она работать не будет.
у меня во всех проектах привязка, ведь это намного проще чем проконтролировать вывод всей информации

ну я вот утром в метро еду, в тиктенице ковыряюсь...
за это время IP меняется десяток раз

не говоря уже о наземном трнаспорте и 3G
--
и галка-то не поможет, думаю ... просто ставить не будут

Ну тут как сказать. если есть желание работать с телефона, можно настроить работу через прокси, чтобы ip не менялся . можно по крайней мере организовать опционально возможность такой привязки именно для админов биллинга, т.к. краза такого пароля позволит просто глобально снести все аккаунты пользователей через биллинг. Вот тогда проблем будет гораздо больше, чем необходимость работать через прокси сервер.
Хотя конечно такой вариант и отдаёт слегка параноей ))

Alex Keda писал(а):ну я вот утром в метро еду, в тиктенице ковыряюсь...
за это время IP меняется десяток раз

не говоря уже о наземном трнаспорте и 3G
--
и галка-то не поможет, думаю ... просто ставить не будут

а кто ставить не будет это их дело, идею можно рассматривать как дополнительная опция безопасности,
в браузерах есть авто заполнение логин/пароль как штатное так и сторонним софтом, не замечал дискомфорта в этом плане.

если только к User Agent то проблемы не будет в вашем случае, не думаю что его будут таки активно разгадывать, скорее всего злоумышленники подумают то что привязка идет по IP..... хотя о чем я, можно скачать и посмотреть исходный код))