Будь-ласка, якщо Вам не важко то я хочу побачити як Ви нанесете шкоду сайту http://auction.ua з допомогою XSS, якщо ж дійсно нанесете то буде вам подяка, і матеріальна в тому числі

можу Вас порадувати що доступ до адміністративної частини може відбутися тільки з одного IP адресу

По-перше, адмінка - це лише одна складова частина сайта. Окрім неї є ще аккаунти користувачів. В котрих обмеження по IP може не бути (як це переважно буває). А також є ще відвідувачі сайту, котрих через заначену мною уразливість (як першу версія, так і другу з обходом фільтрів) погані хлопці зможуть атакувати без будь-яких згадок про їх IP. Cross-Site Scripting - це дуже об’ємна уразливість, з багатьма векторами атаки.

По-друге, обмеження по IP нічого не дасть. З XSS це обмеження легко обходиться і від даних дірок воно не захистить. Про що мені часто доводиться повторювати своїм клієнтам та власникам дирявих сайтів, котрим я повідомляю про дірки (а вони лінуються їх виправляти, ховаючись за обмеженням по IP, що є міфом, котрий мені доводиться розвіювати).

Тому мене ви нічим не порадували (що так несерйозно відноситеся до безпеки свого сайта). Та й себе також, як ви могли зрозуміти з моїх слів. Лише порадували тих зловмисників, що захочуть атакувати учасників вашого сайта (тим що не приділяєте уваги безпеці).

Варто серйозніше віднестися до безпеки клієнтів та відвідувачів вашого проекту.

З приводу того, що ви виправили вже дірку (хоча цей процес затягнувся на довго і мені довелося вас довго переконувати, що треба слідкувати за безпекою свого сайта), зазначу. Що уразливість ви виправили не до кінця, з чим мені нерідко доводиться стикатися.

При невеличкій модифікації (використовуючи filter bypass техніку) уразливість знову працює (в IE):

XSS:

alert(document.cookie)
цікавий

Безпека сайта - це більш серйозна справа, ніж це вам здалося. Потрібно як виправляти дірки (котрі потрібно спочатку ще знайти), так і перевіряти виправлення. Для цього і потрібен аудит безпеки.

Тому більше слідкуйте за безпекою власного проекту.

P.S.

Додам, що спасибі від вас я так і не отримав (при усіх моїх витратах часу на вас). Не варто про це забувати (з чим я стикаюсь доволі часто і це відповідним чином характеризує ті проекти та їх власників).

Акаунти юзерів псувати мало кому потрібно, це може бути лише у випадку дитячих забавок, а зловмисники мають інші цілі. Зокрема захоплюють юзерські акаунти з метою отримання конфіденційної інформації, або з метою отримання грошей (що найбільш поширено) - грошей у веб гаманці або грошей в акаунті користувача (веб брокера, про діри на сайтах яких я пишу регулярно).

А адмінку від XSS нічого не врятує, жоден .htaccess. Тільки пароль/хеш/сесія захоплені, далі вже справа техніки. Тому найбільш ефективним є розділеня доступу до адмінки і наприклад форуму (що треба в адмінку додатково авторизуватися). Як це зроблено в IPB, а потім подібне зробили пхпББ-шніки, як раз після тієї діри, патч для якої я випустив в першій версії свого Security Pack. Тільки таким чином зменшується ризик, але в будь-якому разі кожну діру треба фіксити, бо навіть з “неповними” правами зловмисник зможе нанести шкоду.

А щодо .htaccess, то зауважу, що як це було у випадку уразливості на www.arcanumclub.ru, цей файл не тільки не захистив, а навіть допоміг швидко знайти адмінку і хеші адмінів. Тому при наявності дір на сайті, не варто сподіватися на його безпеку. І нерідко може статися, що засоби безпеки, можуть навіть погіршити загальний рівень безпеки (як у наведеному випадку). А також з цього прикладу можна зрозуміти, що нюкати треба обережно .

Як я глянув на одному вашому сайті, який я знайшов (на www.complex.lviv.ua), на сайті є реклама auction.ua, що і підвердило мої здогади (що обидва сайти є вашими проектами, в тій чи іншій мірі).

Так от вашому інтернет магазину також варто слідкувати за власною безпекою. Бо я лише трішки подивився на ваш сайт і сходу знайшов 15 уразливостей (Directory disclosure, Full path disclosure та XSS). Тому приділяйте увагу безпеці та проводьте аудит безпеки ваших сайтів.

По-перше, я не став би згадувати про цю уразливість, якщо б вона нічого не дала зловмиснику. Я завжди пишу лише про актуальні уразливості.

По-друге, всі можливі напрямки використання даної уразливості (і можливий зиск для зловмисника) - вони всі виходять з типу уразливості, про який я написав, що це Cross-Site Scripting.

Про XSS я пишу регулярно, в тому числі я написав достатньо матеріалів по даному напрямку веб атак (в різних розділах свого сайта і зокрема в розділі Статті), які можна прочитати для покращення своїх знань з цієї теми (і варто ці матеріли прочитати).

Мені часто задають подібні записатання, і зокрема про XSS, мовляв що з даною уразливістю можна зробити (і задають подібні запитання люди, які не розуміються, або недостатньо розуміються на цій темі). Як я вже сказав, інформації я публікую достатньо, в тому числі надаю лінки на додаткову інформацію про різні типи уразливостей (в тому числі XSS). І щоб подібних запитань не задавати, варто прочитати наявні матеріали по даній темі (як на моєму сайті, так і на інших сайтах, зокрема ті, на які я надавав лінки). Я навіть опублікував відео мануал на цю тему - Відео про Cross Site Scripting, в якому наглядно демонструється методика атаки з використанням XSS.

Головним вектором атаки при XSS, є користувачі сайта. В тому числі й адміністратори. І при захопленні панелі керування адміністратора, зловмисник отримує контроль над усім сайтом. Тому даний клас уразливостей є доволі небезпечним.