Следующая уязвимость. Это может быть вектор, в который можно было получить доступ с помощью злоумышленных средств с использованием CSRF. Вредоносный JavaScript может быть введен с помощью атаки CSRF->Stored XSS
.
Существует «админ панель», где я может редактировать содержимое существующих записей или добавить новые.
Проблема в том, что, когда вы проверку подлинности этой административной консоли хакер все еще могут получить доступ к этой функции с помощью «верховых» на вашей авторизованной сессии, и это является основой CSRF. Короче говоря, злоумышленнику не нужно знать свой идентификатор сеанса, потому что ваш браузер делает это! Посещая вредоносный веб-сайт, злоумышленник может заставить ваш браузер отправлять HTTP-запрос в административную консоль. Чтобы снять эту атаку, злоумышленник должен знать сервер, путь к скрипту и все параметры POST/GET, но ему не нужен ваш пароль или файл cookie. Если это внутренняя административная консоль, это маловероятный вектор атаки. Но его легко защищать. Самый простой способ - проверить http referer
http-запроса, который делает эту «модификацию контента», Motorola делает это для многих своих сетевых устройств. Более общий подход - использовать «токен csrf».
CSRF: Проблема 0: проблема, если вы используете basic-auth через файл .htaccess или файл cookie на основе auth. Независимо от того, что вам нужно для предотвращения вредоносных поддельных запросов и защиты от обнюхивания с помощью HTTPS. Это более подробно описано в OWASP Top 10, убедитесь, что вы прочитали «A3:« Сломанная аутентификация и управление сеансом ».
Модуль администратора - он обслуживается в одном домене и обслуживается через Интернет? Например, если ваша страница администратора обслуживается только в локальной интрасети, и вы доверяете своей интрасети/коллегам, тогда все в порядке, чтобы не волноваться. В противном случае вам все равно придется беспокоиться о том, что кто-то украл ваш cookie администратора, и все, что указано ниже, применимо. –
.. Кроме того, вы должны быть внимательны, чтобы не посещать вредоносные веб-сайты или не использовать ссылки по электронной почте/им/чату, когда вы вошли в панель управления администратора. В противном случае кто-то может csrf вас. –