Попытка атаки через xss битрикс что это

Bitrix Hub

Модуль «Проактивная защита» для безопасности и защиты

Безопасность продукта «1С-Битрикс: Управление сайтом» – это целый ряд технических решений по обеспечению безопасности системы и разработанных веб-приложений. Это несколько уровней защиты от большинства известных атак на веб-приложения. Каждый уровень серьезно повышает безопасность разработанных вами интернет-проектов. Проактивная защита – это целый комплекс технических и организационных мер, которые объединены общей концепцией безопасности и позволяют значительно расширить понятие защищенности и реакции веб-приложений на угрозы.

Преимущества бекапа 1С Битрикс

Проактивная защита – это целый комплекс технических и организационных мер, которые объединены общей концепцией безопасности и позволяют значительно расширить понятие защищенности и реакции веб-приложений на угрозы.

Это целый ряд технических решений по обеспечению безопасности продукта и разработанных веб-приложений. Несколько уровней защиты от большинства известных атак на веб-приложения включает этот модуль. И каждый уровень серьезно повышает безопасность разработанных вами интернет-проектов.

Одной из первостепенных задач для владельцев веб-проектов является качественная и надежная защита от хакерских атак, взлома и кражи хранящейся на сайте информации.

Проактивная защита является существенным дополнением к стандартной политике безопасности продукта. Поэтому одноименный модуль включен во все редакции продукта «1С-Битрикс: Управления сайтом» (кроме Старта) и в продукт «1С-Битрикс: Корпоративный портал». Причем, что важно, и Проактивная защита, и Проактивный фильтр впервые в мире включены непосредственно в сам продукт!

Встроенный файервол

Проактивный фильтр (WAF — Web Application Firewal) обеспечивает защиту от большинства известных атак на веб-приложения. В потоке внешних запросов пользователей проактивный фильтр распознает большинство опасных угроз и блокирует вторжения на сайт. Проактивный фильтр – наиболее эффективный способ защиты от возможных ошибок безопасности, допущенных при реализации интернет-проекта (XSS, SQL Injection, PHP Including и ряда других). Действие фильтра основано на анализе и фильтрации всех данных, поступающих от пользователей через переменные и куки.

Защита от DDoS

Контроль активности позволяет установить защиту от чрезмерно активных пользователей, программных роботов, некоторых категорий DDoS-атак, а также отсекать попытки подбора паролей перебором. В настройках можно установить максимальную активность пользователей для вашего сайта (например, число запросов в секунду, которые может выполнить пользователь).

В нашей хостинг-компании BitrixHub установлена система фильтрации на магистральных маршрутизаторах, которая обеспечивает индустриальный стандарт защиты от DDoS-атак.

Внутренний сканер безопасности

Инструмент для аудита безопасности PHP-кода — удобный, точный и понятный инструмент для разработчика, который «подсказывает» узкие места в безопасности его кода. Инструмент позволяет не только предотвратить эксплуатацию уязвимости, но и устранить ее источник. Проверка показывает в отчете потенциальные уязвимости в коде и усиливает защиту сайта от взлома.

Найти и опробовать этот инструмент можно в административной части сайта: Настройки -> Инструменты > «Монитор качества» > выбрать тест «Предприняты меры по обеспечению безопасности проекта на уровне веб-разработки» в разделе «Безопасность». Запустив тест, вы сможете просмотреть подробный отчет о его работе (при условии наличия найденных проблем).

Веб-антивирус уже в составе продукта!

Веб-антивирус встроен непосредственно в сам продукт — систему управления сайтами. Этот компонент защиты полностью соответствует общей концепции безопасности системы и в разы повышает защищенность и скорость реакции веб-приложения на веб-угрозы.

«Веб-антивирус» препятствует имплантированию вредоносного кода непосредственно в веб-приложения. И происходит это следующим образом. «Веб-антивирус» выявляет в HTML коде потенциально опасные участки и «вырезает» подозрительные объекты из кода сайта. В итоге вирусы не могут проникнуть на компьютер пользователя сайта — антивирус препятствует этому. И, что особо важно, «Веб-антивирус» уведомляет администратора портала — предупреждает о наличии заразы. Получая информацию об этом, администратор ищет источник зловредного кода, проводит «зачистку» компьютера и усиливает профилактические меры. Подробнее

Контроль вторжений

В Журнале регистрируются все события, происходящие в системе, в том числе необычные или злонамеренные. Оперативный режим регистрации этих событий позволяет просматривать соответствующие записи в Журнале сразу же после их генерации. В свою очередь, это позволяет обнаруживать атаки и попытки атак в момент их проведения. Это значит, у вас есть возможность немедленно принимать ответные меры, и, в некоторых случаях, даже предупреждать атаки.

Проактивный фильтр фиксирует в журнале следующие категории атак
– попытка внедрения SQL;
– попытка атаки через XSS;
– попытка внедрения PHP.

Защита административного интерфейса 1С Битрикс

Эта защита позволяет компаниям строго регламентировать сети, которые считаются безопасными и из которых разрешается сотрудникам администрировать сайт. Перед вами простой специальный интерфейс, в котором все это и делается — задается список или диапазоны IP адресов, из которых как раз и позволяется управление сайтом. Не бойтесь закрыть себе доступ в момент установки блокировки — этот момент проверяется системой.

Каков эффект от использования данной защиты? Любые XSS/CSS атаки на компьютер пользователя становятся неэффективными, а похищение перехваченных данных для авторизации с чужого компьютера — абсолютно бесполезным.

Двухфакторная авторизация и токены для одноразовых паролей

Модуль «Проактивная защита» позволяет включить поддержку одноразовых паролей и использовать их выборочно для любых пользователей на сайте. Однако особо рекомендуется задействовать систему одноразовых паролей администраторам сайтов, поскольку это сильно повышает уровень безопасности пользовательской группы «Администраторы».

Система одноразовых паролей дополняет стандартную систему авторизации и позволяет значительно усилить систему безопасности интернет-проекта. Для включения системы необходимо использовать аппаратное устройство (например, Aladdin eToken PASS) или соответствующее программное обеспечение, реализующее OTP.

Что вам дает такая технология? Однозначную уверенность, что на сайте авторизуется именно тот пользователь, которому выдан брелок. При этом какое-то похищение и перехват паролей теряет всякий смысл, так как пароль одноразовый. Брелок же физический, дает уникальные одноразовые пароли и только при нажатии. А это значит, что владелец брелка не сможет передать пароль другому человеку, продолжая пользоваться входом на сайт.

Система контроля целостности

Контроль целостности файлов необходим для быстрого выяснения — вносились ли изменения в файлы системы. В любой момент вы можете проверить целостность ядра, системных областей, публичной части продукта.

Перед проверкой целостности системы необходимо проверить скрипт контроля на наличие изменений. При первом запуске скрипта введите в форму произвольный пароль (состоящий из латинских букв и цифр, длиной не менее 10 символов), а также произвольное кодовое (ключевое) слово (отличное от пароля), и нажмите на кнопку «Установить новый ключ».

BitrixHub

Профессиональный битрикс-хостинг для проектов под управлением CMS 1С Битрикс, виртуальные машины в облаке, выделенные серверы, лицензии, SSL-сертификаты.

Новое на сайте

• Критическая уязвимость Битрикс
• Чистка Битрикс сервера
• Битрикс: ручная установка модулей
• Ошибка при синхронизации Битрикс: время на сервере базы данных
• Выполнение агентов в Битрикс на кроне (cron)

Новости и акции Битрикс

• Акции и спецпредложения
• Безопасность
• Бесплатные вебинары
• Битрикс хитрости
• Мир битрикс
• Новости битрикс

Контакты

• Звоните и узнайте оптимальные решения для вашего бизнеса.
• Москва: +7 (495) 730-6139
• С.-Петербург: +7 (812) 382-0777
• www.bitrixhub.ru

Copyright © 2023 BitrixHub. All Rights Reserved.

Проактивная защита 1С-Битрикс

Все инструменты безопасности в Битрикс объединены под общим названием «Проактивная защита».

Все инструменты доступны из редакции 1С-Битрикс «Стандарт». Для некоторых потребуется установить модуль «Веб-аналитика».

Расскажем подробнее про каждый раздел:

Проактивный фильтр

Проактивный фильтр защищает от большинства известных атак. Он распознает потенциальные угрозы и блокирует вторжения на сайт, анализирует и фильтрует данные, которые поступают от посетителя через переменные и куки.

Проактивный фильтр – это наиболее эффективный способ защиты от возможных ошибок безопасности, допущенных при реализации интернет-проекта (XSS, SQL Injection, PHP Including и ряда других).

Все попытки атак Проактивный фильтр фиксирует в специальном журнале и при этом информирует администратора сайта о случаях вторжения. Фильтр может заблокировать атакующего, добавив его IP-адрес в стоп-лист.

Сканер безопасности веб-сайта

Администрирование — Настройки — Проактивная защита — сканер безопасности

Сканер безопасности — это служба мониторинга уязвимостей безопасности веб-сайтов. Совместно с модулем проактивной защиты сервис Security Scanner проводит полную диагностику угроз безопасности интернет-ресурсов и своевременно их предотвращает.

Сканер проверяет окружение проекта, находит настройки всех систем безопасности, а также находит потенциальные уязвимости кода.

Запустить сканирование можно по кнопке «Запустить сканирование«.

После сканирования результаты отображаются со списком всех угроз безопасности, обнаруженных на веб-сайте. Обратите внимание, что не все найденное является угрозой, но по возможности стоит следовать рекомендациям.

Возможности сканера безопасности Битрикс:

1. Выполняет внутреннее сканирование окружения проекта. Например, насколько безопасно хранятся сессии.
2. Выполняет проверку настроек сайта. Например, включен ли WAF, установлен ли пароль к БД и т. д.
3. Выполняет поиск потенциальных уязвимостей в коде проекта с помощью статического анализа.
4. Запускает внешнее сканирование, что позволит определить правильно или нет сконфигурирован Nginx + php-fpm, доступность настроек PhpMyAdmin и др. Стоит помнить, что все сервисы, необходимые только сайту, не должны быть видны «наружу», данный инструмент поможет проанализировать к каким сервисам открыт доступ.

В результатах проверки сайта на уязвимости даются также рекомендации по их устранению. Особо важные пункты красным цветом и обозначены восклицательным знаком.

Если у Вас возникли ошибки в сканере безопасности и Вы самостоятельно не можете решить вопрос, обратитесь к разработчикам за помощью. Ошибки могут быть критическими.

Веб-антивирус

Администрирование — Настройки — Проактивная защита — Веб-антивирус

Веб-антивирус препятствует внедрению вредоносного кода в веб-сайт. Он выявляет в HTML коде потенциально опасные участки и вырезает подозрительные объекты из кода сайта.

Веб-антивирус также уведомляет администратора сайта о найденных вирусах или подозрительных частей кода.

В настройках этого инструмента можно добавить исключения, чтобы Веб-антивирус не срабатывал на безопасные, но подозрительные части кода.

Аудит безопасности PHP-кода

Администрирование — Настройки — Инструменты — Монитор качества

Этот удобный, точный и понятный инструмент подсказывает потенциально опасные места в безопасности кода. Он не только предотвращает эксплуатацию уязвимости, но и устраняет ее источник. Проверка показывает в отчете возможные уязвимости в коде и усиливает защиту сайта от взлома.

Защита от DDoS

DDoS-атака или иная распределенная атака на веб-сайт с использованием большого количества нежелательных запросов. Противостоять такой атаке может только специализированная защита.

Начиная с 15-й версии в Битриксе появилась возможность подключить защиту от DDoS-атак. Это можно сделать как из админки сайта, так и со специальной страницы на сайте Битрикс, если админка Битрикс на сайте недоступна из-за DDos атаки. Лицензия включает бесплатную защиту одного сайта от DDoS-атак в год сроком на 10 дней.

Напомним, что на нашем хостинге для Битрикс на всех тарифах уже присутствует аппаратная и программная защита от DDoS атак.

Стоп-лист

Очень полезный инструмент, позволяющий банить сомнительных посетителей. Возможности стоп-листа:

• Перенаправляет посетителей, параметры которых содержатся в стоп-листе;
• Блокирует пользователей по IP адресам;
• Есть ручное пополнение стоп-листа новыми записями;
• Ведется учет статистики пользователей, которым запрещен доступ к сайту;
• Можно установить период действия запрета на доступ к сайту для пользователя, IP-сети, маски сети, UserAgent и ссылки, по которой пришел пользователь;
• Можно изменять сообщение, которое будет показано пользователю при попытке доступа к сайту.

Контроль активности устанавливает защиту от сверх активных пользователей, программных ботов, отдельных категорий DDoS-атак, а также отсекает попытки подбора пароля методом перебора.

В настройках инструмента можно установить максимальную активность пользователя на сайте (например, количество запросов в секунду, которое может сделать пользователь).

Возможности инструмента Контроля активности:

• Защищает от чрезмерно активных пользователей, программных роботов и некоторых категорий DDoS-атак;
• Отсекает попытки подбора паролей перебором;
• Устанавливает максимальную активность пользователей для сайта (нормальной для человека);
• Фиксирует превышение лимита активности пользователя в Журнале вторжений;
• Блокирует пользователя, превысившего количество запросов в заданный временной интервал;
• Выводит для заблокированного пользователя специальную информационную страницу.

Защита административного раздела

Этот инструмент позволяет жестко ограничивать сети, которым разрешен доступ к административной части сайта. В нем можно указать список разрешенных IP, с которых можно управлять административной частью.

Это исключает любые XSS/CSS-атаки на компьютер администратора, а также перехват паролей, так как доступ и авторизация на чужом компьютере будут невозможны.

Инструмент также включает защиту от блокировки доступа администратора.

Контроль целостности файлов

Администрирование — Настройки — Проактивная защита — Контроль целостности

Контроль целостности файлов поможет вам быстро узнать, были ли внесены изменения в системные файлы.В любой момент вы можете проверить целостность ядра, системных областей и публичной части продукта.

Система также позволяет выполнять проверку скрипта контроля на наличие изменений.

Защита сессий

Также очень полезный инструмент безопасности. Целью большинства атак на веб-сайты является получение данных об авторизованном сеансе пользователя. Включение безопасности сеанса делает такой захват невозможным.

Хранение данных сеанса в таблице модуля позволяет избежать чтения этих данных через скрипты с других сайтов на том же сервере, исключая ошибки в настройке виртуального хостинга, ошибки в настройке прав доступа во временные каталоги и ряд других проблем в конфигурации операционной среды.

Кроме того, это разгружает файловую систему, перенося нагрузку на сервер базы данных.

Панель безопасности

Панель безопасности позволяет установить и настроить необходимый уровень безопасности для вашего сайта: начальный, стандартный, высокий и продвинутый. Попутно система дает рекомендации, какие действия следует задать для каждого параметра на выбранном текущем уровне.

Начальный уровень безопасности получать все проекты на базе Битрикс без установленного модуля «Проактивная защита».

Стандартный уровень безопасности — для тех проектов, где задействованы стандартные средства проактивной защиты продукта.

Высокий уровень безопасности — это рекомендуемый уровень защиты, который получают проекты, соответствующие требованиям стандартного уровня, а также включают:

• Журналирование событий главного модуля;
• Защиту административной части;
• Хранение сессий в базе данных;
• Смену идентификатора сессий.

Повышенный уровень безопасности включает в себя специальные средства защиты, обязательные для веб-сайтов, содержащих конфиденциальную информацию о пользователях. Помимо высокого уровня сюда входят:

• Включение одноразовых паролей;
• Проверка целостности скрипта контроля.

Безопасная авторизация без SSL

Этот инструмент делает невозможным взлом паролей с формы авторизации, т.к. они шифруются по алгоритму RSA с ключом 1024 бит и в таком виде передаются на корпоративный сайт.

Безопасная авторизация с шифрованием пароля предотвращает передачу открытого текста пароля без SSL. При этом все инструменты, ранее использовавшиеся для авторизации, продолжают работать.

Журнал вторжений

В журнал вторжений записываются все события, происходящие в системе, в том числе необычные или злонамеренные. События регистрируются в онлайн-режиме, что позволяет просматривать соответствующие записи журнала сразу же после их создания.

Такая скорость позволяет обнаруживать атаки и попытки атак в момент их проведения. Это означает, что вы можете немедленно реагировать и предотвращать возможные атаки.

Двухэтапная авторизация и одноразовые пароли

Система одноразовых паролей дополняет стандартную систему авторизации и значительно улучшает систему безопасности сайта. Так реализована двухэтапная авторизация — сначала обычный логин и пароль, затем одноразовый пароль.

Подобную защиту можно реализовать как аппаратными средствами (аппаратные устройства-брелоки типа eToken PASS), так и программно с помощью Персонального генератора одноразовых паролей для сайта (ОТР).

Защита редиректов от фишинга

В Битриксе, как и в любой CMS, для подсчета числа кликов, есть возможность реализации ссылок через редиректы. Для безопасной работы данного функционала, чтобы исключить подмену ссылок, необходимо использовать защиту от фишинга:

• Проверять наличие HTTP заголовка описывающего ссылающуюся страницу — при отмеченной опции будет проверяться наличие HTTP заголовка, описывающего страницу;
• HTTP заголовок, описывающий ссылающуюся страницу, должен содержать текущий сайт — при отмеченной опции будет проверяться наличие в HTTP заголовке записи о текущем сайте, который описывает ссылающуюся страницу;
• Добавлять цифровую подпись к перечисленным ниже URL — при отмеченной опции к адресам, перечисленным в поле Подписываемые URLs, будет добавляться цифровая подпись.

Защита от фреймов

Опция позволяет разрешить/запретить загружать страницы сайта через frame за счет проставление заголовка X-Frame-Options в значение SAMEORIGIN. При активации защиты от фреймов не будет работать Вебвизор в Яндекс.Метрике. Есть способы обойти это ограничение, если добавить блокировку iframe через Nginx, в котором можно исключить блокировку для Вебвизора, в этом вам помогут в поддержке хостинга.

Хосты/домены

Опция блокирует открытие сайта по адресам, которые отличаются от разрешенных вами. Это делается за счет проверки и запрета подмены HTTP-заголовка Host.

Вы можете настроить блокировку таких попыток открытия сайта, или просто сделать переадресацию на нужный адрес.

Дополнительная защита 1С-Битрикс

Резервное копирование

В идеале, это первое, о чем должен позаботиться владелец сайта. Резервное копирование позволяет восстановить рабочую версию сайта после любого сбоя или вторжения извне.

На нашем хостинге Джихост резервное копирование происходит в автоматическом режиме раз в неделю. Копии хранятся на независимых серверах и не занимают места на дисках клиентов.

Однако пользователям рекомендуется создавать резервные копии самостоятельно. В частности, перед любыми серьезными изменениями или обновлениями на веб-сайте. Сделать это можно как на нашем хостинге, так и непосредственно в самом Битриксе.

Для создания резервной копии сайта на хостинге зайдите в свою Панель управления ( https://my.jehost.ru ), в меню Инструменты – Резервные копии – Новый. Будет создана текущая резервная копия.

В Битриксе резервное копирование реализовано в различных вариантах.

• Полное резервное копирование. Как следует из названия, будет создана полная резервная копия сайта со всем его содержимым.
• Выборочное копирование. Можно выбрать, какую часть сайта копировать — контент /ядро / база данных. Часто это удобнее, особенно если сайт занимает много места. Есть также настройка, которая позволяет отключить копирование отдельной папки или файла.
• Автоматическое регулярное резервное копирование. В Битриксе можно настроить автоматическое резервное копирование по расписанию. А чтобы бакапы со временем не занимали все место, можно настроить автоматическое удаление старых копий.
• Автоматический backup в облако. Еще более надежный вариант. В облаке копии хранятся независимо, поэтому надежность такого бэкапа гораздо выше.

Защита выхода пользователя из системы от CSRF

Система 1С-Битрикс позволяет защитить сайт от межсайтовой подделки запросов буквально в один клик.

Форум

Всем привет! Периодически система защиты сайта определяет такую атаку. В информации об атаке указан мой пользователь и мой IP. Проверил все компьютеры с которых работал в системе на вирусы, ничего не нашел. Что это может быть ?

П.с. Анализируя информацию об атаках есть смутное ощущение что сайт их фиксирует при попытке изменить страницы сайта через визуальный редактор, хотя могу и ошибаться.

Заглянувший
Сообщений: 47 Баллов: 2 Регистрация: 16.04.2012
25.11.2015 09:17:16

Цитата
Максим Муравьев написал: П.с. Анализируя информацию об атаках есть смутное ощущение что сайт их фиксирует при попытке изменить страницы сайта через визуальный редактор, хотя могу и ошибаться.

так и есть, после манипуляций с виз. редактором у меня такие же логи, вообще у него много ложных срабатываний, так как алгоритм пока примитивен по поиску ошибок типа XSS CSRF

Заглянувший
Сообщений: 32 Баллов: 1 Регистрация: 13.05.2012
25.11.2015 10:23:00

Цитата
Максим Муравьев написал: П.с. Анализируя информацию об атаках есть смутное ощущение что сайт их фиксирует при попытке изменить страницы сайта через визуальный редактор, хотя могу и ошибаться.

Понял, спасибо. Значит ложная тревога)
Заглянувший
Сообщений: 1 Регистрация: 07.12.2016
07.12.2016 23:10:43

Здравствуйте. Подскажите, пжлст — есть ли какие-то настройки, где можно было бы «покрутить» и сделать так, чтоб этих ложных срабатываний было меньше? А то прям достало.

Заглянувший
Сообщений: 3 Регистрация: 18.04.2013
20.01.2017 17:16:19

Цитата
Александр Чуваков написал: Здравствуйте. Подскажите, пжлст — есть ли какие-то настройки, где можно было бы «покрутить» и сделать так, чтоб этих ложных срабатываний было меньше? А то прям достало.

можно поставить маску исключений в настройках фильтра

/bitrix/*

Посетитель
Сообщений: 44 Баллов: 6 Регистрация: 06.11.2013
26.09.2018 12:33:56
У нас беда — срабатывание на кавычки:

Попытка атаки через XSS

$_GET[q]

Труба «питьевая»

Т.к. с кавычками ищут очень часто — нельзя включить «Добавить IP-адрес атакующего в стоп-лист», а без этого — при реальных подборах сервер падает по AVG load.
мы одни с такой проблемой?
Страницы: 1

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером

1С-Битрикс http://www.1c-bitrix.ru Общие вопросы info@1c-bitrix.ru Приобретение и лицензирование продуктов : sales@1c-bitrix.ru Маркетинг/мероприятия/PR marketing@1c-bitrix.ru Партнерская программа partners@1c-bitrix.ru Мы работаем с 10:00 до 19:00 по московскому времени. Офис в Москве 127287 Россия Московская область Москва 2-я Хуторская улица дом 38А строение 9 Офис в Калининграде +7 (4012) 51-05-64 Офис в Калининграде 236001 Россия Калининградская область Калининград Московский проспект 261 Офис в Киеве ukraine@1c-bitrix.ru Телефон в Киеве +3 (8044)221-55-33 Офис в Киеве 01033 Украина Калининградская область Киев улица Шота Руставели 39/41 офис 1507

© 2001-2023 «Битрикс», «1С-Битрикс». Работает на 1С-Битрикс: Управление сайтом. Политика конфиденциальности

Cистематическая уязвимость сайтов, созданных на CMS 1С-Битрикс

Написать о систематических уязвимостях сайтов, созданных на коммерческих CMS, подтолкнул пост, в котором были описаны риски взлома «защищенных» CMS.

В этой статье основное внимание уделяется компрометации ресурсов по причине «человеческого фактора», а тема эксплуатации уязвимостей сайтов и веб-атак была обойдена предположением существования «неуязвимых» CMS. Предположение о существовании «неуязвимых» CMS, возможно, имеет право на существование, как пример, безопасность готового интернет-магазина «из коробки» на CMS 1C-Битрикс очень высока, и найти более-менее серьезные уязвимости кода «коробочной версии» вряд ли удастся.

Другое дело безопасность конечного продукта, созданного на такой CMS, и самое главное, систематика проявления уязвимостей высокого уровня угроз у этих сайтов. Исходя из нашей практики по обеспечению безопасности сайтов (компания InSafety), а также статистики, которую мы собираем по уязвимостям платформ (CMS), не менее чем у пятидесяти процентов сайтов, созданных на платформе 1С-Битрикс c личными кабинетами пользователей, существует возможность эксплуатации хранимых XSS-атак.

Платформа: CMS 1C-Битрикс 15.0 и выше
Угроза безопасности: хранимая XSS-атака
Систематика: не менее 50% сайтов с личными кабинетами пользователей

Уязвимость кода, позволяющая эксплуатацию XSS атаки, заключается в недостаточной фильтрации данных полей формы регистрационной информации личного кабинета пользователя ресурса, которые передаются в БД.

Разработчик сохраняет данные, например, имя пользователя из $_REQUEST, через API Битрикса, то они не фильтруются полностью, и тэги сохраняются. Например, передаем строку в поле формы «имя» ЛК пользователя сайта:

Данные передаются через обычный input в $_POST[‘name’] и далее в $USER->Update, например, так:

$USER->Update($USER->GetID(),array( 'NAME' => $_POST['name'], ));

HTML-код не будет санирован и будет запомнен в имени пользователя «как есть». Скриншот админки сайта:

Этот пример наглядно демонстрирует наличие угрозы безопасности

В предложенной демонстрации существовании угрозы, было показано внедрение HTML кода, а не JS, что предполагает типовая XSS-атака. Это обусловлено тем, что у большинстве сайтов, разработанных на CMS 1C-Битрикс, попытку внедрения JS-кода заблокирует фильтр проактивной защиты.

Внедрение большинства синтаксических тегов HTML кода, проактивной защитой CMS 1C-Битрикс не фильтруется. Такая демонстрация обнаружения уязвимости кода абсолютно безопасна и наглядна. В случае, когда фильтр проактивной защиты 1С-Битрикс по какой-то причине отключен, вышеописанная уязвимость кода позволяет эксплуатировать хранимые XSS-атаки в «классической» реализации.

Уровень угрозы безопасности для сайта от внедрения любого (будь то JS или HTML) несанкционированного кода, как и его вывода без должной фильтрации, крайне высок.

По понятным причинам, в этой статье не предлагаются варианты реальной эксплуатации атаки, как с включенным, так и с отключенным фильтром проактивной защиты.

Защита от XSS-атаки

Защитить свой сайт от возможности эксплуатации XSS атаки достаточно просто. Для этого следует фильтровать входные и выходные данные путем экранирования символов и преобразования спецсимволов в HTML-сущности. В php это можно сделать с помощью функций htmlspecialchars(), htmlentities(), strip_tags().

$name = strip_tags($_POST['name']); $name = htmlentities($_POST['name'], ENT_QUOTES, "UTF-8"); $name = htmlspecialchars($_POST['name'], ENT_QUOTES);

Кроме этого следует явно указывать кодировку страниц сайта:

Header("Content-Type: text/html; charset=utf-8");

Способов защиты от XSS атак множество, к примеру, существуют варианты запрета на передачу кавычек и скобок (фильтрация данных по черному списку) на уровне конфигурации веб-сервера.

Пример для NGINX: (запись в конфигурационный файл)

location / < if ($args ~* '^.*(<|>|").*') < return 403; >if ($args ~* '^.*(%3C|%3E|%22).*') < return 403; >>

Для веб-сервера Apache это будет запись в файл .htaccess:

RewriteEngine on RewriteCond % (<|>|"|%3C|%3E|%22) [NC,OR] RewriteRule ^

Фильтрация данных по черному списку применима далеко не для всех сайтов. Применять такой способ защиты от атак, следует с большой осторожностью, так как можно заблокировать легальные запросы.

Заключение

Вышеозначенная угроза безопасности на веб-приложения, является наиболее популярной и известной атакой. Про XSS атаки и защиту от них, написано тысячи статей и публикаций.

В практике нашей компании уязвимость к XSS атакам личных кабинетов пользователей была обнаружена осенью 2015 года. Весною 2016 года наша статистика уязвимых сайтов на CMS 1С-Битрикс явно указывала на наличие возможности эксплуатации атаки у более 50% процентов исследуемых сайтов. В апреле 2016 года, понимая, что уязвимость кода в этом разделе носит системный характер, мы передали всю информацию по угрозе безопасности в компанию Битрикс. Сотрудники компании Битрикс приняли информацию, сообщив в обратной связи, что приняли меры, исправив документацию к системе. Несмотря на принятые меры, вышеописанная угроза безопасности для сайтов на 1С-Битрикс остаётся крайне актуальной на сегодняшний день.

Надеюсь, что эта информация будет полезной для разработчиков и владельцев сайтов, созданных на платформе 1C-Битрикс.

Нужно понимать, что эксперименты с безопасностью чужих сайтов, не говоря о эксплуатации атаки в криминальных целях, может повлечь уголовную ответственность. Вся информация по угрозе безопасности сайтов, в этом посте, предоставлена с целью повышения общего уровня ИБ конечных продуктов на платформе 1C-Битрикс.

• 1с-битрикс
• информационная безопасность
• разработка сайтов
• создание сайтов
• xss
• уязвимости и их эксплуатация

• Информационная безопасность
• 1С-Битрикс