Ошибка безопасности в свободно конфигурируемых услугах

sasha181 · Сообщение **sasha181** » 2016-01-21 17:47:20

В текстовых полях созданных вручную услуг есть возможность вставить js код:
http://joxi.ru/vAWVp5eIkR4gD2.png
Код работает при заходе на страницу со списком заказов по данной услуге.

Alex Keda · Сообщение **Alex Keda** » 2016-01-21 18:19:48

попарвил

sasha181 · Сообщение **sasha181** » 2016-01-21 19:47:52

Насколько вообще страшна данная уязвимость? Украсть сессию и войти под админом получится при желании или есть доп. механизмы защиты в обработчике сессий?

Alex Keda · Сообщение **Alex Keda** » 2016-01-21 20:32:38

получится, JS же к сессиям доступ имеет.

rootden · Сообщение **rootden** » 2016-01-27 13:10:00

Alex Keda писал(а):получится, JS же к сессиям доступ имеет.

может есть смысл привязать сессию к IP и User Agent, если украдут то и фиг с ней она работать не будет.
у меня во всех проектах привязка, ведь это намного проще чем проконтролировать вывод всей информации

Alex Keda · Сообщение **Alex Keda** » 2016-01-27 13:39:03

ну я вот утром в метро еду, в тиктенице ковыряюсь...
за это время IP меняется десяток раз

не говоря уже о наземном трнаспорте и 3G
--
и галка-то не поможет, думаю ... просто ставить не будут

sasha181 · Сообщение **sasha181** » 2016-01-27 14:24:54

Ну тут как сказать. если есть желание работать с телефона, можно настроить работу через прокси, чтобы ip не менялся . можно по крайней мере организовать опционально возможность такой привязки именно для админов биллинга, т.к. краза такого пароля позволит просто глобально снести все аккаунты пользователей через биллинг. Вот тогда проблем будет гораздо больше, чем необходимость работать через прокси сервер.
Хотя конечно такой вариант и отдаёт слегка параноей ))

rootden · Сообщение **rootden** » 2016-01-27 15:27:59

Alex Keda писал(а):ну я вот утром в метро еду, в тиктенице ковыряюсь...
за это время IP меняется десяток раз

не говоря уже о наземном трнаспорте и 3G
--
и галка-то не поможет, думаю ... просто ставить не будут

а кто ставить не будет это их дело, идею можно рассматривать как дополнительная опция безопасности,
в браузерах есть авто заполнение логин/пароль как штатное так и сторонним софтом, не замечал дискомфорта в этом плане.

если только к User Agent то проблемы не будет в вашем случае, не думаю что его будут таки активно разгадывать, скорее всего злоумышленники подумают то что привязка идет по IP..... хотя о чем я, можно скачать и посмотреть исходный код))

Биллинг для хостинга