"А ваш сайт безпечний? Топ-3 уразливості 1С-Бітрікс"

19 березня 2021

Платформа 1С-Бітрікс вважається однією з найбільш захищених серед популярних систем управління сайтом – CMS, як загального призначення, так і спеціалізованих під eCommerce. І не дарма. В її арсеналі чимало інструментів, спрямованих на захист даних та вебресурсу загалом.

Проте, досвід розроблення інтернет-магазинів та сайтів, а також аналіз повідомлень спільноти, що працює із цією системою, вказують на те, що й у неї є слабкі місця.

Міжсайтовий скриптинг

Насамперед, це XSS-атаки – різновид атаки на вебсистеми, коли використовують скрипти, які надають лиходіям можливість виконувати небезпечні операції. Уразливість може бути використана для внесення змін до HTML-коду сторінок вразливого вебресурсу, викрадення COOKIE даних браузера користувача, з подальшим впровадженням у сесію, під його обліковим записом.

Ця проблема не є специфічною для 1С-Бітрікс, але за версією видання Bitrix Hub, саме вона лідирує серед топпрогалин у безпеці сайтів на цій платформі.

Як захиститися:

♦використовувати функції htmlspecialchars(), htmlentities(), strip_tags(), метод CDatabase::ForSql;

♦ примусово замінювати лапки та дужки, що передаються через форми на сайті;

♦ неприховано зазначати кодування сторінки.

Перенаправлення click.php, rk.php и redirect.php

Ця проблема відома вже понад сім років, проте досі не вирішена розробниками CMS та часто трапляється на діючих вебпроєктах.

Ці файли дають змогу використовувати конструкції на кшталт /bitrix/rk.php?=goto={сайт-зловмисник}, які перенаправляють користувача на адресу, вказану після «goto=». Такі дії спричиняють понаднормове навантаження на сервер. Додатково на сайт надходить чимало спамних посилань, що можуть зашкодити просуванню проєкту, гальмуючи його швидкість.

Офіційна технічна підтримка запропонувала просто видалити ці файли. І здебільшого це можна зробити без шкоди для сайту, якщо не використовується відстеження зовнішніх переходів. Як альтернативу користувачі запропонували налаштування правил переадресації у .htaccess щодо цих файлів.

Безконтрольні реєстрації

З 2020 року з’явилися повідомлення про масову реєстрацію користувачів на сайтах, що обійшли капчі, яким розсилався спам з допомогою повідомлень про створення облікового запису.

Причиною стало використання застарілих компонентів авторизації system.auth.* на сторінках вебпроєктів.

Для усунення цього недоліку рекомендується скасувати можливість реєстрації користувачів самостійно, додавши класичну CAPTCHA – комп'ютерний тест, який використовується для того, щоб визначити, ким є користувач системи: людиною чи комп'ютером.

На жаль, це не всі проблеми. І здебільшого вони виникають через непрофесіоналізм і помилки фахівців, що працюють над створенням вебпроєкту. Отже, будьте пильні, обираючи підрядника, звертайтеся за професійною допомогою до досвідчених вебмайстів і дизайнерів та не забувайте проводити систематичний аудит сайту.

Андрій ПАВЛЮК
для «Урядового кур’єра»



При копіюванні даної статті посилання на джерело обов'язкове: http://www.ukurier.gov.ua