Nur mal so am Rande. Mittlerweile wird nicht mehr nur nach offensichtlichen Lücken in Softwares gesucht, sondern versucht den jeweiligen Admin auf XSS-anfällige Seiten zu locken oder auf speziell präparierte, um dann mit seinem Login im Adminbereich rumzufuschen. Das nennt man XSRF:
https://de.wikipedia.org/wiki/Cross-Sit ... st_Forgery
Es kann also durchaus sein, dass die eingesetzte Software überhaupt keinen Schutz vor XSRF bietet. Dazu sollte man den jeweiligen Support befragen. Insbesondere sollte man jedes einzele Modul hinterfragen: Könnte jemand mit meinem aktuellen Login und dem Aufrufen einer bekannten URL oder dem Absenden eines Formulars dessen Ziel eine bekannte URL, ist eine Aktion auslösen? (also statische URLs ohne zufälligen Paramentern wie Session-IDs).
Wenn man selbst XSS-Lücken auf der Seite hat und mit der aktuellen Browsersitzung bereits im Adminbereich war, kann der Angreifer auch den .htacess-Schutz überwinden (den hoffentlich jeder realisiert hat
).
Vor den XSRF-Attacken wurde übrigens vermehrt auf Trojaner gesetzt. D.h. die oben genannte Attacke kann durchaus dazu genutzt worden sein noch mehr Webmastern Trojaner unterzuschieben, damit deren Zugänge direkt live auf deren PCs extrahiert oder ausgelöst werden können.
Relativ sicher ist man, wenn man administrative Aktionen an einem getrennten "Gast"-Rechner ausführt, in dessen Browser JScript und Javascript deaktiviert sind. Und mit getrennt meine ich außerhalb des sonst genutzten Netzwerks