Найбільш поширені уразливості 1С-Бітрікс
  
Автор:

Незважаючи на загальноприйнятий високий рівень захищеності «Бітрікс» навіть сьогодні знаходяться «діри», які можуть заподіяти серйозні неприємності.
Джерело: https://tinyurl.com/ywnbwvsm
 

XSS-атаки

Топ вразливостей Бітрікс очолює крос-скриптинг, тобто XSS-атаки, коли в коді веб-проекту є скрипти, що дають можливість хакерам успішно використовувати виклики змінних і виконувати шкідливі операції. Це обумовлено відсутністю або недостатньо надійною фільтрацією параметрів, що передаються скриптам. Зазвичай це пов’язано з авторизацією і реєстрацією користувачів на сайті або в інтернет магазині і операціями введення-виведення з БД (MySQL).

Існує два типи XSS уразливостей – пасивна та активна. Вони розрізняються тим, що при пасивної в фішингових листах підставляють посилання, щоб потім жертва виконала POST / GET запит, а ось активна спрямована на те, щоб отримати доступ до даних сайту.

При активній XSS атаки хакеру досить впровадити код в базу або який-небудь файл на сервері. Таким чином, всі відвідувачі сайту автоматично стають жертвами. Він може бути інтегрований, наприклад, за допомогою впровадження SQL-коду (SQL Injection). Тому, не варто довіряти даним, що зберігаються в БД, навіть якщо при вставці вони були оброблені.
 

Джерело: http://bitrixhub.ru/naibolee-massovaya-uyazvimost-dlya-hakerov-v-1s-bitriks/

Вразливості перенаправлень в 1C-Бітрікс

Під вразливістю в даному випадку розуміють Open Redirect (відкриті перенаправлення) на вашому сайті. Якщо при редирект користувача не попереджають про перехід, то сайт можуть запідозрити у вразливості до фішингу.

Звучить страшно, але хвилюватися не потрібно. Ця проблема пов’язана з тим, що спочатку в Бітрікс відключений захист редиректів. Ми підготували інструкцію, як за 5 хвилин обмежити можливість використання небажаних перенаправлень.

Щоб всі редіректи були захищені, вам потрібно:

1. Авторизуватися в адміністративній частині за адресою http: // НАЗВАНІЕ_САЙТА / bitrix / (Замість НАЗВАНІЕ_САЙТА підставте назву вашого сайту), ввівши ваші логін і пароль.

2. У лівому меню перейти в розділ Налаштування-Проактивний захист-Захист редиректів.

3. Натиснути кнопку «Включити захист редиректів», якщо виводиться повідомлення «Захист редиректів від фішингу виключена». Якщо захист редиректів включена, пропускайте цей крок.

4. Перейти у вкладку «Параметри».

5. У секції «Методи» вибрати всі методи захисту від фішингу. Повинні стояти галочки навпроти наступних пунктів: «Перевіряти наявність HTTP-заголовка, що описує посилається сторінку», «HTTP-заголовок, що описує посилається сторінку, повинен містити поточний сайт» і «Додавати цифровий підпис до перерахованих нижче URL»

6. У секції «Дії» вибрати дію захисту від фішингу – «Показати повідомлення про спробу перенаправлення на інший сайт». Цей варіант не допустить несанкціонований і непомітний для користувача редирект. Така поведінка відповідає рекомендаціям OWASP, даними на сайті організації

7. Застосувати налаштування, натиснувши кнопку «Зберегти».

Готово! Тепер всі редіректи на вашому сайті захищені і відповідають вимогам безпеки.

Джерело

Безконтрольні реєстрації

З 2020 року з’явилися повідомлення про масову реєстрацію користувачів на сайтах, що обійшли капчі, яким розсилався спам з допомогою повідомлень про створення облікового запису.

Причиною стало використання застарілих компонентів авторизації system.auth.* на сторінках вебпроєктів.

Для усунення цього недоліку рекомендується скасувати можливість реєстрації користувачів самостійно, додавши класичну CAPTCHA – комп’ютерний тест, який використовується для того, щоб визначити, ким є користувач системи: людиною чи комп’ютером.

На жаль, це не всі проблеми. І здебільшого вони виникають через непрофесіоналізм і помилки фахівців, що працюють над створенням веб проекту. Отже, будьте пильні, обираючи підрядника, звертайтеся за професійною допомогою до досвідчених вебмайстів і дизайнерів та не забувайте проводити систематичний аудит сайту.

Джерело


Отправить на E-mailОтправить на E-mail   Версия для печатиВерсия для печати
Комментарии(0)

Пока комментариев нет… Будьте первым кто оставит комментарий по этой теме!

или
Вы можете войти с помощью:
Войти с Facebook Войти с Google Войти с ВКонтакте