| |||||||||
|
28.10.2014 14:26
дело в том что модерский доступ к CMS позволяет редактировать шаблоны, куда можно внедрить код шелла PHP, или вирус.
а можно в товар вставить Javas c r i p t, угоняющий куки (админа) к примеру.
Через редактирование статьи (TinyMCE) можно отредактировать любой файл и получить доступ к любому файлу, в том числе к данным админа в папке userstat/admin.txt (причем даже из соседних папок)
так что ... только полная изоляция юзерских магазинов методами серверно-админскими
а можно в товар вставить Javas c r i p t, угоняющий куки (админа) к примеру.
Через редактирование статьи (TinyMCE) можно отредактировать любой файл и получить доступ к любому файлу, в том числе к данным админа в папке userstat/admin.txt (причем даже из соседних папок)
так что ... только полная изоляция юзерских магазинов методами серверно-админскими