Как закрыть такую уязвимость

Есть удобный и мощный трейд скрипт топа , но в нём уязвимость, троянщик может под видом трейдера в mail форму засабмитить JS который при заходе админа отошлёт куки и троянщик сможет зайти в admin.php и в темплейты вставить iframe, эксп. тп.
Поможет ли закрытие файла admin.php с помощью htpasswd паролем или htaccess по IP , в этом случае как я понимаю даже имея куки для входа в admin.php троянщика остановит на уровне сервера?
Или может ещё какие методы есть - заходить через опредлённый браузер или установить опредёлённые права на темплеты что бы невозможно было бы вставить вредоносную компоненту из админки. Интересно всё кроме смены скрипта это и так понятно , просто альтернативы нет хорошей.
Всем заранее благодарен

по идее остановит, тогда можно пароль с admin.php убрать вообще

Дело в том, что запрет htaccess по IP для admin.php желателен даже в случаях отсутствия явных уязвимостей!
В идеале попробовать поправить сам скрипт админской части.

если надо именно в скрипте то admin.php переименовываем в admin1.php

сам admin.php делаем
<?
$_POST['message'] = strip_tags($_POST['message']);
include('admin1.php');

имя $_POST['message'] смотрится на названию поля, в котором сабмититься месага.

Если я правильно понял про какой скрипт идет речь То просто переимунуй admin.php во что то другое и максимально закрой доступ ко всему. Хотя мне не помогло даже полное ограничение на 1 ip сученышь все равно бекдоры тянул

значит в другом месте свои дырки или дырки позволяющие локальный доступ к закрытому извне файлу. надо все проверять

В последней версии этого секретного топа была добавлена авторизация по сессии. Куки в ней воровать бесполезно.

Retox писал:

Есть удобный и мощный трейд скрипт топа , но в нём уязвимость, троянщик может под видом трейдера в mail форму засабмитить JS который при заходе админа отошлёт куки и троянщик сможет зайти в admin.php и в темплейты вставить iframe, эксп. тп.

сделать авторизацию по htpasswd - самое простое
отключать яваскрипт при входе в админку - тут главное помнить об этом
сделать/заказать скрипт который будет сам периодически логиниться в админку и проверять сообщения на предмет тега script и удалять такие. тот же вариант решения, но если скрипт на бд типа mysql - написать скрипт который по крону будет из бд такие сообщения удалять. там работы на полчаса со всеми перекурами

а скрипт под зендом чтоль?
если нет, то нужно подправить его, зафильтровать все вводимые данные

и кстати, закрытие админки не обязательно поможет, т.к при незакрытой xss там не только куки могут упереть.

Скрипт под ионкубом. старые версии под зендом.

тогда написать скрипт который будет принимать данные формы регистрации, фильтровать и отправлять их уже в оригинальный.

ну или блокировать js в админке через noscript

Парни всем спасибо, предложены интересные методы, буду комбинировать
Всем рейтинг выставил